Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für Amazon SageMaker AI
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter AWS Verwaltete Richtlinien im IAM-Benutzerhandbuch.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art der Aktualisierung betrifft alle Identitäten (Benutzer, Gruppen und Rollen), denen die Richtlinie zugeordnet ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.
Wichtig
Wir empfehlen, dass Sie die am stärksten eingeschränkte Richtlinie verwenden, die es Ihnen ermöglicht, Ihren Anwendungsfall auszuführen.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für Amazon SageMaker AI:
-
AmazonSageMakerFullAccess— Gewährt vollen Zugriff auf Amazon SageMaker AI und SageMaker KI-Geodatenressourcen sowie die unterstützten Operationen. Dies bietet keinen uneingeschränkten Zugriff auf Amazon S3, sondern unterstützt Buckets und Objekte mit bestimmtensagemakerTags. Diese Richtlinie ermöglicht die Übergabe aller IAM-Rollen an Amazon SageMaker AI, erlaubt jedoch nur die Weitergabe von IAM-Rollen mit AmazonSageMaker "" an die Dienste AWS Glue AWS Step Functions, und AWS RoboMaker . -
AmazonSageMakerReadOnly— Gewährt schreibgeschützten Zugriff auf Amazon SageMaker AI-Ressourcen.
Die folgenden AWS verwalteten Richtlinien können Benutzern in Ihrem Konto zugewiesen werden, werden jedoch nicht empfohlen:
-
AdministratorAccess– Erlaubt alle Aktionen für alle AWS Dienste und für alle Ressourcen im Konto. -
DataScientist– Gewährt ein breites Spektrum an Berechtigungen, welche die meisten Anwendungsfälle abdecken (in erster Linie für Analysen und Business Intelligence), die Datenexperten gefunden haben.
Sie können diese Berechtigungsrichtlinien prüfen, indem Sie sich bei der IAM Konsole anmelden und nach ihnen suchen.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für Amazon SageMaker AI-Aktionen und -Ressourcen nach Bedarf zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
Themen
- AWS verwaltete Richtlinie: AmazonSageMakerFullAccess
- AWS verwaltete Richtlinie: AmazonSageMakerReadOnly
- AWS verwaltete Richtlinien für Amazon SageMaker Canvas
- AWS verwaltete Richtlinien für Amazon SageMaker Feature Store
- AWS verwaltete Richtlinien für Amazon SageMaker Geospatial
- AWS Verwaltete Richtlinien für Amazon SageMaker Ground Truth
- AWS verwaltete Richtlinien für Amazon SageMaker HyperPod
- AWS Verwaltete Richtlinien für SageMaker KI-Modell-Governance
- AWS Verwaltete Richtlinien für Model Registry
- AWS Verwaltete Richtlinien für SageMaker Notebooks
- AWS verwaltete Richtlinien für Amazon SageMaker Partner AI Apps
- AWS Verwaltete Richtlinien für SageMaker Pipelines
- AWS verwaltete Richtlinien für SageMaker Ausbildungspläne
- AWS Verwaltete Richtlinien für SageMaker Projekte und JumpStart
- SageMaker KI-Updates für AWS verwaltete Richtlinien
AWS verwaltete Richtlinie: AmazonSageMakerFullAccess
Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Geodatenressourcen und Operationen von Amazon SageMaker SageMaker AI und AI gewähren. Die Richtlinie bietet auch ausgewählten Zugriff auf verwandte Dienste. Diese Richtlinie ermöglicht die Übergabe aller IAM-Rollen an Amazon SageMaker AI, erlaubt jedoch nur die Weitergabe von IAM-Rollen mit AmazonSageMaker "" an die Dienste AWS Glue AWS Step Functions, und AWS RoboMaker . Diese Richtlinie beinhaltet keine Berechtigungen zum Erstellen einer Amazon SageMaker AI-Domain. Informationen zu den Richtlinien, die für die Erstellung einer Domain erforderlich sind, finden Sie unter Vollständige Amazon SageMaker AI-Voraussetzungen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
application-autoscaling— Ermöglicht Prinzipalen die automatische Skalierung eines SageMaker KI-Echtzeit-Inferenzendpunkts. -
athena— Ermöglicht es Prinzipalen, eine Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten abzufragen. Amazon Athena -
aws-marketplace— Ermöglicht Prinzipalen, AWS AI Marketplace-Abonnements einzusehen. Sie benötigen dies, wenn Sie auf abonnierte SageMaker KI-Software zugreifen möchten. AWS Marketplace -
cloudformation— Ermöglicht es Prinzipalen, AWS CloudFormation Vorlagen für die Verwendung von SageMaker JumpStart KI-Lösungen und Pipelines abzurufen. SageMaker KI JumpStart schafft Ressourcen, die für die Ausführung von Lösungen für end-to-end maschinelles Lernen erforderlich sind, die SageMaker KI mit anderen AWS Diensten verbinden. SageMaker AI Pipelines erstellt neue Projekte, die von Service Catalog unterstützt werden. -
cloudwatch— Ermöglicht es Prinzipalen, CloudWatch Kennzahlen zu veröffentlichen, mit Alarmen zu interagieren und Protokolle in die Logs in Ihrem CloudWatch Konto hochzuladen. -
codebuild— Ermöglicht Prinzipalen das Speichern von AWS CodeBuild Artefakten für SageMaker KI-Pipeline und Projekte. -
codecommit— Wird für die AWS CodeCommit Integration mit SageMaker KI-Notebook-Instanzen benötigt. -
cognito-idp— Wird für Amazon SageMaker Ground Truth benötigt, um private Arbeitskräfte und Arbeitsteams zu definieren. -
ec2— Wird benötigt, damit SageMaker KI EC2 Amazon-Ressourcen und Netzwerkschnittstellen verwalten kann, wenn Sie eine Amazon-VPC für Ihre SageMaker KI-Jobs, Modelle, Endpunkte und Notebook-Instances angeben. -
ecr— Erforderlich, um Docker-Artefakte für Amazon SageMaker Studio Classic (benutzerdefinierte Images), Training, Verarbeitung, Batch-Inferenz und Inferenzendpunkte abzurufen und zu speichern. Dies ist auch erforderlich, um Ihren eigenen Container in KI zu verwenden. SageMaker Zusätzliche Berechtigungen für SageMaker JumpStart KI-Lösungen sind erforderlich, um benutzerdefinierte Bilder im Namen von Benutzern zu erstellen und zu entfernen. -
elasticfilesystem– Ermöglicht Prinzipalen den Zugriff auf Amazon Elastic File System. Dies ist erforderlich, damit SageMaker KI Datenquellen im Amazon Elastic File System zum Trainieren von Modellen für maschinelles Lernen verwenden kann. -
fsx— Ermöglicht Prinzipalen den Zugriff auf Amazon FSx. Dies ist erforderlich, damit SageMaker KI Datenquellen in Amazon zum Trainieren von Modellen FSx für maschinelles Lernen verwenden kann. -
glue— Wird für die Vorverarbeitung der Inferenz-Pipeline innerhalb von SageMaker KI-Notebook-Instances benötigt. -
groundtruthlabeling– Wird für Ground-Truth-Etikettierungsarbeiten benötigt. Auf dengroundtruthlabelingEndpunkt wird über die Ground-Truth-Konsole zugegriffen. -
iam— Wird benötigt, um der SageMaker KI-Konsole Zugriff auf verfügbare IAM-Rollen zu gewähren und dienstbezogene Rollen zu erstellen. -
kms— Erforderlich, um der SageMaker KI-Konsole Zugriff auf verfügbare AWS KMS Schlüssel zu gewähren und diese für alle angegebenen AWS KMS Aliase in Jobs und Endpunkten abzurufen. -
lambda– Ermöglicht Prinzipalen das Aufrufen und Abrufen einer Liste von AWS Lambda Funktionen. -
logs— Erforderlich, damit SageMaker KI-Jobs und Endpunkte Log-Streams veröffentlichen können. -
redshift– Ermöglicht Prinzipalen den Zugriff auf Amazon Redshift-Clusteranmeldedaten. -
redshift-data– Ermöglicht Prinzipalen, Daten aus Amazon Redshift zu verwenden, um Anweisungen auszuführen, zu beschreiben und abzubrechen, Anweisungsergebnisse abzurufen und Schemas und Tabellen aufzulisten. -
robomaker— Ermöglicht Prinzipalen vollen Zugriff auf das Erstellen, Abrufen von Beschreibungen und Löschen von AWS RoboMaker Simulationsanwendungen und Jobs. Dies ist auch erforderlich, um Reinforcement-Learning-Beispiele auf Notebook-Instances auszuführen. -
s3, s3express— Ermöglicht Principals vollen Zugriff auf Amazon S3- und Amazon S3 Express-Ressourcen, die sich auf SageMaker KI beziehen, aber nicht auf alle Amazon S3- oder Amazon S3 Express-Ressourcen. -
sagemaker— Ermöglicht Prinzipalen, Tags in SageMaker KI-Benutzerprofilen aufzulisten und Tags zu SageMaker KI-Apps und Spaces hinzuzufügen. Erlaubt nur den Zugriff auf die SageMaker KI-Flow-Definitionen von Sagemaker: WorkteamType „private-crowd“ oder „vendor-crowd“. Ermöglicht die Verwendung und Beschreibung von SageMaker KI-Schulungsplänen und reservierten Kapazitäten in SageMaker Ausbildungsberufen und SageMaker HyperPod Clustern in allen AWS Regionen, in denen die Funktion „Trainingspläne“ verfügbar ist. -
sagemakerundsagemaker-geospatial— Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf SageMaker KI-Domänen und Benutzerprofile. -
secretsmanager– Ermöglicht Prinzipalen Vollzugriff auf AWS Secrets Manager. Die Prinzipale können die Anmeldeinformationen für Datenbanken und Services sicher verschlüsseln, speichern und abrufen. Dies ist auch für SageMaker KI-Notebook-Instanzen mit SageMaker KI-Code-Repositorys erforderlich, die verwenden. GitHub -
servicecatalog– Ermöglicht Prinzipalen die Verwendung von Service Catalog. Die Principals können bereitgestellte Produkte wie Server, Datenbanken, Websites oder Anwendungen, die mithilfe von Ressourcen bereitgestellt werden, erstellen, eine Liste davon abrufen, aktualisieren oder beenden. AWS Dies ist erforderlich, damit SageMaker KI JumpStart und Projekte Servicekatalogprodukte finden und lesen und AWS Ressourcen für Benutzer bereitstellen können. -
sns– Ermöglicht es Prinzipalen, eine Liste mit Amazon SNS-Themen anzuzeigen. Dies ist für Endgeräte mit aktivierter asynchroner Inferenz erforderlich, um Benutzer darüber zu informieren, dass ihre Inferenz abgeschlossen ist. -
states— Erforderlich, damit SageMaker KI JumpStart und Pipelines einen Servicekatalog verwenden können, um Ressourcen für Step-Funktionen zu erstellen. -
tag— Wird für das Rendern von SageMaker AI-Pipelines in Studio Classic benötigt. Studio Classic benötigt Ressourcen, die mit einem bestimmtensagemaker:project-idTag-Schlüssel gekennzeichnet sind. Dazu ist dietag:GetResourcesGenehmigung erforderlich.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:partner-app/*", "arn:aws:sagemaker:*:*:flow-definition/*", "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowUseOfTrainingPlanResources", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateCluster", "sagemaker:UpdateCluster", "sagemaker:DescribeTrainingPlan" ], "Resource": [ "arn:aws:sagemaker:*:*:training-plan/*", "arn:aws:sagemaker:*:*:reserved-capacity/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS verwaltete Richtlinie: AmazonSageMakerReadOnly
Diese Richtlinie gewährt über das SDK AWS Management Console und den Lesezugriff auf Amazon SageMaker AI.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
application-autoscaling— Ermöglicht Benutzern das Durchsuchen von Beschreibungen skalierbarer SageMaker KI-Echtzeit-Inferenzendpunkte. -
aws-marketplace— Ermöglicht Benutzern das Anzeigen von AWS AI Marketplace-Abonnements. -
cloudwatch— Ermöglicht Benutzern den Empfang von CloudWatch Alarmen. -
cognito-idp— Wird für Amazon SageMaker Ground Truth benötigt, um Beschreibungen und Listen von privaten Mitarbeitern und Arbeitsteams zu durchsuchen. -
ecr– Erforderlich zum Abrufen und Speichern von Docker-Artefakten für Training und Inferenzen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker KI-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für SageMaker KI an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderung | Datum |
|---|---|---|---|
AmazonSageMakerFullAccess – Aktualisierung auf eine bestehende Richtlinie |
27 |
|
4. Dezember 2024 |
AmazonSageMakerFullAccess – Aktualisierung auf eine bestehende Richtlinie |
26 |
|
29. März 2024 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
25 |
Fügen Sie |
30. November 2023 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
24 |
Fügen Sie |
30. November 2022 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
23 |
Fügen Sie |
29. Juni 2022 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
22 |
Fügen Sie |
01.Mai 2022 |
AmazonSageMakerReadOnly – Aktualisierung auf eine bestehende Richtlinie |
11 |
Fügen Sie |
1. Dezember 2021 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
21 |
Fügen Sie |
8. September 2021 |
AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie |
20 |
Ressourcen und |
15. Juli 2021 |
AmazonSageMakerReadOnly - Aktualisierung einer bestehenden Richtlinie |
10 |
Neue API für SageMaker AI Feature Store |
10. Juni 2021 |
|
SageMaker AI hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. |
1. Juni 2021 |
