AWS Verwaltete Richtlinien für Amazon SageMaker - Amazon SageMaker
AmazonSageMakerFullAccessAmazonSageMakerReadOnlyAktualisierungen der SageMaker Amazon-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Verwaltete Richtlinien für Amazon SageMaker

Es ist einfacher zu verwenden, um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen AWS verwaltete Richtlinien, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Um schnell loszulegen, können Sie unsere verwenden AWS verwaltete Richtlinien. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto. Weitere Informationen zur AWS verwaltete Richtlinien, siehe AWS verwaltete Richtlinien im IAMBenutzerhandbuch.

AWS Wartung und Aktualisierung der Dienste AWS verwaltete Richtlinien. Sie können die Berechtigungen nicht ändern in AWS verwaltete Richtlinien. Dienste fügen gelegentlich zusätzliche Berechtigungen zu einem hinzu AWS verwaltete Richtlinie zur Unterstützung neuer Funktionen. Diese Art der Aktualisierung betrifft alle Identitäten (Benutzer, Gruppen und Rollen), denen die Richtlinie zugeordnet ist. Es ist am wahrscheinlichsten, dass Dienste ein aktualisieren AWS verwaltete Richtlinie, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einem AWS verwaltete Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

Zusätzlich AWS unterstützt verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Zum Beispiel, das ReadOnlyAccess AWS Eine verwaltete Richtlinie bietet nur Lesezugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion einführt, AWS fügt Nur-Lese-Berechtigungen für neue Operationen und Ressourcen hinzu. Eine Liste und eine Beschreibung der Richtlinien für Berufsfunktionen finden Sie unter AWS verwaltete Richtlinien für Jobfunktionen im IAMBenutzerhandbuch.

Wichtig

Wir empfehlen, dass Sie die am stärksten eingeschränkte Richtlinie verwenden, die es Ihnen ermöglicht, Ihren Anwendungsfall auszuführen.

Folgendes AWS verwaltete Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind Amazon-spezifisch SageMaker:

  • AmazonSageMakerFullAccess— Gewährt vollen Zugriff auf Amazon SageMaker - und SageMaker Geodatenressourcen sowie die unterstützten Operationen. Dies bietet keinen uneingeschränkten Zugriff auf Amazon S3, sondern unterstützt Buckets und Objekte mit bestimmten sagemaker Tags. Diese Richtlinie ermöglicht die IAM Übergabe aller Rollen an Amazon SageMaker, erlaubt jedoch nur die Übergabe von IAM Rollen, die AmazonSageMaker "" enthalten, an AWS Glue, AWS Step Functions, und AWS RoboMaker Dienstleistungen.

  • AmazonSageMakerReadOnly— Gewährt schreibgeschützten Zugriff auf SageMaker Amazon-Ressourcen.

Folgendes AWS verwaltete Richtlinien können Benutzern in Ihrem Konto zugewiesen werden, dies wird jedoch nicht empfohlen:

  • AdministratorAccess— Gewährt alle Aktionen für alle AWS Dienste und für alle Ressourcen auf dem Konto.

  • DataScientist – Gewährt ein breites Spektrum an Berechtigungen, welche die meisten Anwendungsfälle abdecken (in erster Linie für Analysen und Business Intelligence), die Datenexperten gefunden haben.

Sie können diese Berechtigungsrichtlinien überprüfen, indem Sie sich bei der IAM Konsole anmelden und nach ihnen suchen.

Sie können auch Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Berechtigungen für SageMaker Amazon-Aktionen und -Ressourcen nach Bedarf zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.

Themen

AWS verwaltete Richtlinie: AmazonSageMakerFullAccess

Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Amazon SageMaker - und SageMaker Geospatial-Ressourcen und -Operationen ermöglichen. Die Richtlinie bietet auch ausgewählten Zugriff auf verwandte Dienste. Diese Richtlinie ermöglicht die IAM Übergabe aller Rollen an Amazon SageMaker, erlaubt jedoch nur die Übergabe von IAM Rollen, die AmazonSageMaker "" enthalten, an AWS Glue, AWS Step Functions, und AWS RoboMaker Dienstleistungen. Diese Richtlinie beinhaltet keine Berechtigungen zum Erstellen einer SageMaker Amazon-Domain. Informationen zu den Richtlinien, die für die Erstellung einer Domain erforderlich sind, finden Sie unter SageMaker Voraussetzungen für Amazon.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • application-autoscaling— Ermöglicht Prinzipalen die automatische Skalierung eines SageMaker Echtzeit-Inferenzendpunkts.

  • athena— Ermöglicht Prinzipalen die Abfrage einer Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten von Amazon Athena.

  • aws-marketplace— Ermöglicht den Prinzipalen die Anzeige AWS AI Marketplace-Abonnements. Sie benötigen dies, wenn Sie auf abonnierte SageMaker Software zugreifen möchten AWS Marketplace.

  • cloudformation— Ermöglicht Prinzipalen Folgendes AWS CloudFormation Vorlagen für die Verwendung von SageMaker JumpStart Lösungen und Pipelines. SageMaker JumpStarterstellt Ressourcen, die für die Ausführung von Lösungen für end-to-end maschinelles Lernen erforderlich sind, die SageMaker mit anderen verknüpft sind AWS Dienstleistungen. SageMaker Pipelines erstellt neue Projekte, die von Service Catalog unterstützt werden.

  • cloudwatch— Ermöglicht es Principals, CloudWatch Kennzahlen zu veröffentlichen, mit Alarmen zu interagieren und Protokolle in die Logs in Ihrem CloudWatch Konto hochzuladen.

  • codebuild— Ermöglicht Prinzipalen das Speichern AWS CodeBuild Artefakte für SageMaker Pipeline und Projekte.

  • codecommit— Benötigt für AWS CodeCommit Integration mit SageMaker Notebook-Instanzen.

  • cognito-idp— Wird für Amazon SageMaker Ground Truth benötigt, um private Arbeitskräfte und Arbeitsteams zu definieren.

  • ec2— Wird für SageMaker die Verwaltung von EC2 Amazon-Ressourcen und Netzwerkschnittstellen benötigt, wenn Sie ein Amazon VPC für Ihre SageMaker Jobs, Modelle, Endpunkte und Notebook-Instances angeben.

  • ecr— Erforderlich, um Docker-Artefakte für Amazon SageMaker Studio Classic (benutzerdefinierte Images), Training, Verarbeitung, Batch-Inferenz und Inferenzendpunkte abzurufen und zu speichern. Dies ist auch erforderlich, um Ihren eigenen Container in zu verwenden. SageMaker Zusätzliche Berechtigungen für SageMaker JumpStart Lösungen sind erforderlich, um benutzerdefinierte Images im Namen von Benutzern zu erstellen und zu entfernen.

  • elastic-inference— Ermöglicht Principals, eine Verbindung zu Amazon Elastic Inference herzustellen, um SageMaker Notebook-Instances und Endpoints zu verwenden.

  • elasticfilesystem – Ermöglicht Prinzipalen den Zugriff auf Amazon Elastic File System. Dies ist erforderlich SageMaker , um Datenquellen in Amazon Elastic File System zum Trainieren von Modellen für maschinelles Lernen zu verwenden.

  • fsx— Ermöglicht Prinzipalen den Zugriff auf AmazonFSx. Dies ist erforderlich SageMaker , um Datenquellen in Amazon zum Trainieren von Modellen FSx für maschinelles Lernen zu verwenden.

  • glue— Wird für die Vorverarbeitung der Inferenz-Pipeline innerhalb von SageMaker Notebook-Instances benötigt.

  • groundtruthlabeling – Wird für Ground-Truth-Etikettierungsarbeiten benötigt. Auf den groundtruthlabeling Endpunkt wird über die Ground-Truth-Konsole zugegriffen.

  • iam— Wird benötigt, um der SageMaker Konsole Zugriff auf verfügbare IAM Rollen zu gewähren und dienstbezogene Rollen zu erstellen.

  • kms— Wird benötigt, um der SageMaker Konsole Zugriff auf verfügbare AWS KMS Schlüssel und sie für jeden angegebenen Wert abrufen AWS KMS Aliase in Jobs und Endpunkten.

  • lambda— Ermöglicht Prinzipalen das Aufrufen und Abrufen einer Liste von AWS Lambda Funktionen.

  • logs— Wird benötigt, damit SageMaker Jobs und Endpoints Log-Streams veröffentlichen können.

  • redshift – Ermöglicht Prinzipalen den Zugriff auf Amazon Redshift-Clusteranmeldedaten.

  • redshift-data – Ermöglicht Prinzipalen, Daten aus Amazon Redshift zu verwenden, um Anweisungen auszuführen, zu beschreiben und abzubrechen, Anweisungsergebnisse abzurufen und Schemas und Tabellen aufzulisten.

  • robomaker— Ermöglicht Prinzipalen vollen Zugriff auf das Erstellen, Abrufen und Löschen von Beschreibungen AWS RoboMaker Simulationsanwendungen und Jobs. Dies ist auch erforderlich, um Reinforcement-Learning-Beispiele auf Notebook-Instances auszuführen.

  • s3, s3express— Ermöglicht Principals vollen Zugriff auf Amazon S3- und Amazon S3 Express-Ressourcen SageMaker, die Amazon S3 oder Amazon S3 Express betreffen, aber nicht alle.

  • sagemaker— Ermöglicht Prinzipalen, Tags in SageMaker Benutzerprofilen aufzulisten und Tags zu SageMaker Apps und Spaces hinzuzufügen. Erlaubt nur den Zugriff auf SageMaker Flow-Definitionen von Sagemaker: WorkteamType „private-crowd“ oder „vendor-crowd“.

  • sagemakerund sagemaker-geospatial — Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf Domänen und Benutzerprofile. SageMaker

  • secretsmanager— Ermöglicht Prinzipalen vollen Zugriff auf AWS Secrets Manager. Die Principals können Anmeldeinformationen für Datenbanken und andere Dienste sicher verschlüsseln, speichern und abrufen. Dies ist auch für SageMaker Notebook-Instanzen mit SageMaker Code-Repositorys erforderlich, die verwenden. GitHub

  • servicecatalog – Ermöglicht Prinzipalen die Verwendung von Service Catalog. Die Principals können bereitgestellte Produkte wie Server, Datenbanken, Websites oder Anwendungen, die mithilfe bereitgestellt werden, erstellen, eine Liste davon abrufen, aktualisieren oder beenden AWS Ressourcen schätzen. Dies ist für SageMaker JumpStart und Projects erforderlich, um Servicekatalogprodukte zu finden und zu lesen und auf den Markt zu bringen AWS Ressourcen in Benutzern.

  • sns— Ermöglicht Schulleitern, eine Liste mit SNS Amazon-Themen abzurufen. Dies ist für Endgeräte mit aktivierter asynchroner Inferenz erforderlich, um Benutzer darüber zu informieren, dass ihre Inferenz abgeschlossen ist.

  • states— Erforderlich für SageMaker JumpStart und Pipelines, um einen Servicekatalog zur Erstellung von Ressourcen mit schrittweisen Funktionen zu verwenden.

  • tag— Wird benötigt, damit SageMaker Pipelines in Studio Classic gerendert werden können. Studio Classic benötigt Ressourcen, die mit einem bestimmten sagemaker:project-id Tag-Schlüssel gekennzeichnet sind. Dazu ist die tag:GetResources Genehmigung erforderlich.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAllNonAdminSageMakerActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:*",
        "sagemaker-geospatial:*"
      ],
      "NotResource": [
        "arn:aws:sagemaker:*:*:domain/*",
        "arn:aws:sagemaker:*:*:user-profile/*",
        "arn:aws:sagemaker:*:*:app/*",
        "arn:aws:sagemaker:*:*:space/*",
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ]
    },
    {
      "Sid": "AllowAddTagsForSpace",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:space/*"
      ],
      "Condition": {
        "StringEquals": {
          "sagemaker:TaggingAction": "CreateSpace"
        }
      }
    },
    {
      "Sid": "AllowAddTagsForApp",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:app/*"
      ]
    },
    {
      "Sid": "AllowStudioActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowAppActionsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "AllowAppActionsForSharedSpaces",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private",
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private"
          ]
        }
      }
    },
    {
      "Sid": "AllowFlowDefinitionActions",
      "Effect": "Allow",
      "Action": "sagemaker:*",
      "Resource": [
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ],
      "Condition": {
        "StringEqualsIfExists": {
          "sagemaker:WorkteamType": [
            "private-crowd",
            "vendor-crowd"
          ]
        }
      }
    },
    {
      "Sid": "AllowAWSServiceActions",
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DeleteScalingPolicy",
        "application-autoscaling:DeleteScheduledAction",
        "application-autoscaling:DeregisterScalableTarget",
        "application-autoscaling:DescribeScalableTargets",
        "application-autoscaling:DescribeScalingActivities",
        "application-autoscaling:DescribeScalingPolicies",
        "application-autoscaling:DescribeScheduledActions",
        "application-autoscaling:PutScalingPolicy",
        "application-autoscaling:PutScheduledAction",
        "application-autoscaling:RegisterScalableTarget",
        "aws-marketplace:ViewSubscriptions",
        "cloudformation:GetTemplateSummary",
        "cloudwatch:DeleteAlarms",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:PutMetricData",
        "codecommit:BatchGetRepositories",
        "codecommit:CreateRepository",
        "codecommit:GetRepository",
        "codecommit:List*",
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:List*",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient",
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage",
        "ecr:CreateRepository",
        "ecr:Describe*",
        "ecr:GetAuthorizationToken",
        "ecr:GetDownloadUrlForLayer",
        "ecr:StartImageScan",
        "elastic-inference:Connect",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeMountTargets",
        "fsx:DescribeFileSystems",
        "glue:CreateJob",
        "glue:DeleteJob",
        "glue:GetJob*",
        "glue:GetTable*",
        "glue:GetWorkflowRun",
        "glue:ResetJobBookmark",
        "glue:StartJobRun",
        "glue:StartWorkflowRun",
        "glue:UpdateJob",
        "groundtruthlabeling:*",
        "iam:ListRoles",
        "kms:DescribeKey",
        "kms:ListAliases",
        "lambda:ListFunctions",
        "logs:CreateLogDelivery",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DeleteLogDelivery",
        "logs:Describe*",
        "logs:GetLogDelivery",
        "logs:GetLogEvents",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:PutResourcePolicy",
        "logs:UpdateLogDelivery",
        "robomaker:CreateSimulationApplication",
        "robomaker:DescribeSimulationApplication",
        "robomaker:DeleteSimulationApplication",
        "robomaker:CreateSimulationJob",
        "robomaker:DescribeSimulationJob",
        "robomaker:CancelSimulationJob",
        "secretsmanager:ListSecrets",
        "servicecatalog:Describe*",
        "servicecatalog:List*",
        "servicecatalog:ScanProvisionedProducts",
        "servicecatalog:SearchProducts",
        "servicecatalog:SearchProvisionedProducts",
        "sns:ListTopics",
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowECRActions",
      "Effect": "Allow",
      "Action": [
        "ecr:SetRepositoryPolicy",
        "ecr:CompleteLayerUpload",
        "ecr:BatchDeleteImage",
        "ecr:UploadLayerPart",
        "ecr:DeleteRepositoryPolicy",
        "ecr:InitiateLayerUpload",
        "ecr:DeleteRepository",
        "ecr:PutImage"
      ],
      "Resource": [
        "arn:aws:ecr:*:*:repository/*sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeCommitActions",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull",
        "codecommit:GitPush"
      ],
      "Resource": [
        "arn:aws:codecommit:*:*:*sagemaker*",
        "arn:aws:codecommit:*:*:*SageMaker*",
        "arn:aws:codecommit:*:*:*Sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeBuildActions",
      "Action": [
        "codebuild:BatchGetBuilds",
        "codebuild:StartBuild"
      ],
      "Resource": [
        "arn:aws:codebuild:*:*:project/sagemaker*",
        "arn:aws:codebuild:*:*:build/*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowStepFunctionsActions",
      "Action": [
        "states:DescribeExecution",
        "states:GetExecutionHistory",
        "states:StartExecution",
        "states:StopExecution",
        "states:UpdateStateMachine"
      ],
      "Resource": [
        "arn:aws:states:*:*:statemachine:*sagemaker*",
        "arn:aws:states:*:*:execution:*sagemaker*:*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowSecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:CreateSecret"
      ],
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
      ]
    },
    {
      "Sid": "AllowReadOnlySecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "secretsmanager:ResourceTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowServiceCatalogProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:ProvisionProduct"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:TerminateProvisionedProduct",
        "servicecatalog:UpdateProvisionedProduct"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "servicecatalog:userLevel": "self"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*",
        "arn:aws:s3:::*aws-glue*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "s3:ExistingObjectTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
        }
      }
    },
    {
      "Sid": "AllowS3BucketActions",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetBucketLocation",
        "s3:ListBucket",
        "s3:ListAllMyBuckets",
        "s3:GetBucketCors",
        "s3:PutBucketCors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowS3BucketACL",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AllowLambdaInvokeFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:InvokeFunction"
      ],
      "Resource": [
        "arn:aws:lambda:*:*:function:*SageMaker*",
        "arn:aws:lambda:*:*:function:*sagemaker*",
        "arn:aws:lambda:*:*:function:*Sagemaker*",
        "arn:aws:lambda:*:*:function:*LabelingFunction*"
      ]
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
      "Action": "iam:CreateServiceLinkedRole",
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForRobomaker",
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "robomaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowSNSActions",
      "Effect": "Allow",
      "Action": [
        "sns:Subscribe",
        "sns:CreateTopic",
        "sns:Publish"
      ],
      "Resource": [
        "arn:aws:sns:*:*:*SageMaker*",
        "arn:aws:sns:*:*:*Sagemaker*",
        "arn:aws:sns:*:*:*sagemaker*"
      ]
    },
    {
      "Sid": "AllowPassRoleForSageMakerRoles",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": [
            "glue.amazonaws.com",
            "robomaker.amazonaws.com",
            "states.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowPassRoleToSageMaker",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowAthenaActions",
      "Effect": "Allow",
      "Action": [
        "athena:ListDataCatalogs",
        "athena:ListDatabases",
        "athena:ListTableMetadata",
        "athena:GetQueryExecution",
        "athena:GetQueryResults",
        "athena:StartQueryExecution",
        "athena:StopQueryExecution"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowGlueCreateTable",
      "Effect": "Allow",
      "Action": [
        "glue:CreateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueUpdateTable",
      "Effect": "Allow",
      "Action": [
        "glue:UpdateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore"
      ]
    },
    {
      "Sid": "AllowGlueDeleteTable",
      "Effect": "Allow",
      "Action": [
        "glue:DeleteTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetTablesAndDatabases",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabases",
        "glue:GetTable",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetAndCreateDatabase",
      "Effect": "Allow",
      "Action": [
        "glue:CreateDatabase",
        "glue:GetDatabase"
      ],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore",
        "arn:aws:glue:*:*:database/sagemaker_processing",
        "arn:aws:glue:*:*:database/default",
        "arn:aws:glue:*:*:database/sagemaker_data_wrangler"
      ]
    },
    {
      "Sid": "AllowRedshiftDataActions",
      "Effect": "Allow",
      "Action": [
        "redshift-data:ExecuteStatement",
        "redshift-data:DescribeStatement",
        "redshift-data:CancelStatement",
        "redshift-data:GetStatementResult",
        "redshift-data:ListSchemas",
        "redshift-data:ListTables"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowRedshiftGetClusterCredentials",
      "Effect": "Allow",
      "Action": [
        "redshift:GetClusterCredentials"
      ],
      "Resource": [
        "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
        "arn:aws:redshift:*:*:dbname:*"
      ]
    },
    {
      "Sid": "AllowListTagsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:ListTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:user-profile/*"
      ]
    },
    {
      "Sid": "AllowCloudformationListStackResources",
      "Effect": "Allow",
      "Action": [
        "cloudformation:ListStackResources"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
    },
    {
      "Sid": "AllowS3ExpressObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateSession"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*",
        "arn:aws:s3express:*:*:bucket/*aws-glue*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressCreateBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressListBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:ListAllMyDirectoryBuckets"
      ],
      "Resource": "*"
    }
  ]
}
Mehr anzeigenWeniger anzeigen

AWS verwaltete Richtlinie: AmazonSageMakerReadOnly

Diese Richtlinie gewährt Amazon SageMaker nur Lesezugriff über AWS Management Console und. SDK

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • application-autoscaling— Ermöglicht Benutzern das Durchsuchen von Beschreibungen skalierbarer SageMaker Echtzeit-Inferenzendpunkte.

  • aws-marketplace— Ermöglicht Benutzern das Ansehen AWS AI Marketplace-Abonnements.

  • cloudwatch— Ermöglicht Benutzern den Empfang von CloudWatch Alarmen.

  • cognito-idp— Wird für Amazon SageMaker Ground Truth benötigt, um Beschreibungen und Listen von privaten Mitarbeitern und Arbeitsteams zu durchsuchen.

  • ecr – Erforderlich zum Abrufen und Speichern von Docker-Artefakten für Training und Inferenzen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:Describe*",
                "sagemaker:List*",
                "sagemaker:BatchGetMetrics",
                "sagemaker:GetDeviceRegistration",
                "sagemaker:GetDeviceFleetReport",
                "sagemaker:GetSearchSuggestions",
                "sagemaker:BatchGetRecord",
                "sagemaker:GetRecord",
                "sagemaker:Search",
                "sagemaker:QueryLineage",
                "sagemaker:GetLineageGroupPolicy",
                "sagemaker:BatchDescribeModelPackage",
                "sagemaker:GetModelPackageGroupPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "aws-marketplace:ViewSubscriptions",
                "cloudwatch:DescribeAlarms",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "ecr:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

SageMaker Aktualisierungen zu AWS Verwaltete Richtlinien

Einzelheiten zu Aktualisierungen anzeigen für AWS verwaltete Richtlinien, SageMaker seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.

Richtlinie Version Änderung Datum

AmazonSageMakerFullAccess – Aktualisierung auf eine bestehende Richtlinie

 26

sagemaker:AddTags Berechtigung hinzufügen.

29. März 2024

AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie

 25

Fügen Sie sagemaker:CreateAppsagemaker:DescribeApp,sagemaker:DeleteApp,sagemaker:CreateSpace,sagemaker:UpdateSpace,sagemaker:DeleteSpace, s3express:CreateSessions3express:CreateBucket, und s3express:ListAllMyDirectoryBuckets Berechtigungen hinzu.

30. November 2023

AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie

 24

Fügen Sie sagemaker-geospatial:*, sagemaker:AddTags, sagemaker-ListTags, sagemaker-DescribeSpace und sagemaker:ListSpaces Berechtigungen hinzu.

30. November 2022

AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie

 23

Fügen Sie glue:UpdateTable hinzu.

29. Juni 2022

AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie

 22

Fügen Sie cloudformation:ListStackResources hinzu.

01.Mai 2022

AmazonSageMakerReadOnly – Aktualisierung auf eine bestehende Richtlinie

 11

Fügen Sie sagemaker:QueryLineage, sagemaker:GetLineageGroupPolicy, sagemaker:BatchDescribeModelPackage, sagemaker:GetModelPackageGroupPolicy Berechtigungen hinzu.

1. Dezember 2021

AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie

 21

Fügen Sie sns:Publish Berechtigungen für Endgeräte hinzu, für die Async Inference aktiviert ist.

8. September 2021

AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie

 20

Ressourcen und iam:PassRole Berechtigungen aktualisieren.

15. Juli 2021

AmazonSageMakerReadOnly - Aktualisierung einer bestehenden Richtlinie

 10

Neu für SageMaker Feature Store API BatchGetRecord hinzugefügt.

10. Juni 2021

SageMaker hat begonnen, Änderungen für seine zu verfolgen AWS verwaltete Richtlinien.

 1. Juni 2021