Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para Amazon SageMaker Canvas
Estas políticas AWS gestionadas añaden los permisos necesarios para usar Amazon SageMaker Canvas. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
Temas
- AWS política gestionada: AmazonSageMakerCanvasFullAccess
- AWS política administrada: AmazonSageMakerCanvasDataPrepFullAccess
- AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess
- AWS política gestionada: Acceso AmazonSageMakerCanvas AIServices
- AWS política gestionada: AmazonSageMakerCanvasBedrockAccess
- AWS política gestionada: AmazonSageMakerCanvasForecastAccess
- AWS política gestionada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
- AWS política gestionada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
- Amazon SageMaker AI actualiza las políticas gestionadas de Amazon SageMaker Canvas
AWS política gestionada: AmazonSageMakerCanvasFullAccess
Esta política otorga permisos que permiten el acceso total a Amazon SageMaker Canvas a través del SDK AWS Management Console y. La política también proporciona acceso selecto a servicios relacionados [por ejemplo, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry y AWS Secrets Manager Amazon Forecast SageMaker Amazon SageMaker ].
El objetivo de esta política es ayudar a los clientes a experimentar y empezar a utilizar todas las funciones de Canvas. SageMaker Para obtener un control más detallado, se sugiere a los clientes que creen sus propias versiones reducidas a medida que pasen a las cargas de trabajo de producción. Para obtener más información, consulte IAM policy types: How and when to use them
Detalles de los permisos
Esta política AWS administrada incluye los siguientes permisos.
-
sagemaker
— Permite a los directores crear y alojar modelos de SageMaker IA en recursos cuyo ARN contenga «Canvas», «canvas» o «model-compilation-». Además, los usuarios pueden registrar su modelo SageMaker Canvas en SageMaker AI Model Registry en la misma cuenta. AWS También permite a los directores crear y gestionar trabajos de SageMaker formación, transformación y AutomL. -
application-autoscaling
— Permite a los directores escalar automáticamente un punto final de inferencia de SageMaker IA. -
athena
: permite a las entidades principales consultar una lista de catálogos de datos, bases de datos y metadatos de tablas de Amazon Athena, y acceder a las tablas de los catálogos. -
cloudwatch
— Permite a los directores crear y gestionar las CloudWatch alarmas de Amazon. -
ec2
: permite a las entidades principales crear puntos de conexión de Amazon VPC. -
ecr
: permite a las entidades principales obtener información acerca de la imagen de un contenedor. -
emr-serverless
: permite a las entidades principales crear y administrar aplicaciones y ejecuciones de trabajo de Amazon EMR sin servidor. También permite a los directores etiquetar los recursos de SageMaker Canvas. -
forecast
: permite a las entidades principales utilizar Amazon Forecast. -
glue
— Permite a los directores recuperar las tablas, bases de datos y particiones del AWS Glue catálogo. -
iam
— Permite a los directores transferir una función de IAM a Amazon SageMaker AI, Amazon Forecast y Amazon EMR Serverless. También permite a las entidades principales crear un rol vinculado a un servicio. -
kms
— Permite a los directores leer una AWS KMS clave etiquetada con.Source:SageMakerCanvas
-
logs
: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión. -
quicksight
— Permite a los directores enumerar los espacios de nombres de la cuenta de Amazon. QuickSight -
rds
: permite a las entidades principales devolver información sobre instancias aprovisionadas de Amazon RDS. -
redshift
: permite a las entidades principales obtener credenciales para un dbuser “sagemaker_access*” en cualquier clúster de Amazon Redshift, si ese usuario existe. -
redshift-data
: permite a las entidades principales ejecutar consultas en Amazon Redshift mediante la API de datos de Amazon Redshift. Esto solo proporciona acceso a los datos de Redshift en APIs sí mismos y no proporciona acceso directo a los clústeres de Amazon Redshift. Para obtener más información, consulte Uso de la API de datos de Amazon Redshift. -
s3
: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker». También permite a los directores recuperar objetos de los buckets de Amazon S3 cuyo ARN comience por «jumpstart-cache-prod-» en regiones específicas. -
secretsmanager
: permite a las entidades principales almacenar las credenciales de los clientes para conectarse a una base de datos de Snowflake mediante Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS política administrada: AmazonSageMakerCanvasDataPrepFullAccess
Esta política otorga permisos que permiten el acceso total a la funcionalidad de preparación de datos de Amazon SageMaker Canvas. La política también proporciona permisos con privilegios mínimos para los servicios que se integran con la funcionalidad de preparación de datos [por ejemplo, Amazon Simple Storage Service (Amazon S3) AWS Identity and Access Management , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () y]. AWS Key Management Service AWS KMS AWS Secrets Manager
Detalles de los permisos
Esta política AWS administrada incluye los siguientes permisos.
-
sagemaker
: permite a las entidades principales acceder a los trabajos de procesamiento, los trabajos de entrenamiento, las canalizaciones de inferencia, los trabajos de AutoML y los grupo de características. -
athena
: permite a las entidades principales consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde Amazon Athena. -
elasticmapreduce
: permite a las entidades principales leer y enumerar los clústeres de Amazon EMR. -
emr-serverless
: permite a las entidades principales crear y administrar aplicaciones y ejecuciones de trabajo de Amazon EMR sin servidor. También permite a los directores etiquetar los recursos de SageMaker Canvas. -
events
— Permite a los directores crear, leer, actualizar y añadir objetivos a EventBridge las reglas de Amazon para los trabajos programados. -
glue
— Permite a los directores obtener y buscar tablas en las bases de datos del catálogo. AWS Glue -
iam
— Permite a los directores transferir una función de IAM a Amazon SageMaker AI y Amazon EMR Serverless. EventBridge También permite a las entidades principales crear un rol vinculado a un servicio. -
kms
— Permite a los directores recuperar los AWS KMS alias almacenados en los trabajos y puntos de conexión y acceder a la clave KMS asociada. -
logs
: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión. -
redshift
: permite a las entidades principales obtener las credenciales para acceder a una base de datos de Amazon Redshift. -
redshift-data
: permite a las entidades principales ejecutar, cancelar, describir, enumerar y obtener los resultados de las consultas de Amazon Redshift. También permite a las entidades principales enumerar los esquemas y tablas de Amazon Redshift. -
s3
: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker», o estén etiquetados con «», sin distinguir mayúsculas de minúsculas. SageMaker -
secretsmanager
: permite a las entidades principales almacenar y recuperar las credenciales de la base de datos de clientes mediante Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess
Esta política concede los permisos necesarios para que Amazon SageMaker Canvas cree y gestione los puntos de enlace de Amazon SageMaker AI.
Detalles de los permisos
Esta política AWS gestionada incluye los siguientes permisos.
-
sagemaker
— Permite a los directores crear y gestionar puntos finales de SageMaker IA con un nombre de recurso ARN que comience por «Canvas» o «canvas». -
cloudwatch
— Permite a los directores recuperar los datos CloudWatch métricos de Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS política gestionada: Acceso AmazonSageMakerCanvas AIServices
Esta política otorga permisos a Amazon SageMaker Canvas para usar Amazon Textract, Amazon Rekognition, Amazon Comprehend y Amazon Bedrock.
Detalles de los permisos
Esta política AWS administrada incluye los siguientes permisos.
-
textract
: permite a las entidades principales utilizar Amazon Textract para detectar documentos, gastos e identidades dentro de una imagen. -
rekognition
: permite a las entidades principales utilizar Amazon Rekognition para detectar etiquetas y texto dentro de una imagen. -
comprehend
: permite a las entidades principales utilizar Amazon Comprehend para detectar sentimientos y el lenguaje dominante, así como entidades con nombre e información de identificación personal (PII) en un documento de texto. -
bedrock
: permite a las entidades principales utilizar Amazon Bedrock para enumerar e invocar modelos básicos. -
iam
: permite a las entidades principales pasar un rol de IAM a Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS política gestionada: AmazonSageMakerCanvasBedrockAccess
Esta política otorga los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Bedrock.
Detalles de los permisos
Esta política AWS gestionada incluye los siguientes permisos.
-
s3
: permite a las entidades principales añadir y recuperar objetos de buckets de Amazon S3 en el directorio sagemaker-*/Canvas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS política gestionada: AmazonSageMakerCanvasForecastAccess
Esta política concede los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Forecast.
Detalles de los permisos
Esta política AWS gestionada incluye los siguientes permisos.
-
s3
: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre comience por “sagemaker-”.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS política gestionada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Esta política concede permisos a Amazon EMR Serverless para AWS servicios, como Amazon S3, que Amazon SageMaker Canvas utiliza para el procesamiento de datos de gran tamaño.
Detalles de los permisos
Esta política AWS administrada incluye los siguientes permisos.
-
s3
: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos están limitados a aquellos cuyo nombre incluya «» o SageMaker «sagemaker», o que estén etiquetados con SageMaker «», sin distinguir mayúsculas y minúsculas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS política gestionada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Esta política otorga permisos a los usuarios de Amazon SageMaker Canvas para iniciar conversaciones con Amazon Q Developer. Esta función requiere permisos tanto para Amazon Q Developer como para el servicio SageMaker AI Data Science Assistant.
Detalles de los permisos
Esta política AWS gestionada incluye los siguientes permisos.
-
q
— Permite a los directores enviar mensajes al desarrollador de Amazon Q. -
sagemaker-data-science-assistant
— Permite a los directores enviar mensajes al servicio SageMaker Canvas Data Science Assistant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerDataScienceAssistantAccess", "Effect": "Allow", "Action": [ "sagemaker-data-science-assistant:SendConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AmazonQDeveloperAccess", "Effect": "Allow", "Action": [ "q:SendMessage", "q:StartConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Amazon SageMaker AI actualiza las políticas gestionadas de Amazon SageMaker Canvas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas de SageMaker Canvas desde que este servicio comenzó a rastrear estos cambios.
Política | Versión | Cambio | Date |
---|---|---|---|
AmazonSageMakerCanvasSMDataScienceAssistantAccess: actualización de una política existente |
2 |
Se agregó el permiso |
14 de enero de 2025 |
AmazonSageMakerCanvasSMDataScienceAssistantAccess: política nueva |
1 |
Política inicial |
4 de diciembre de 2024 |
AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente |
4 |
Se ha añadido un recurso al permiso |
16 de agosto de 2024 |
AmazonSageMakerCanvasFullAccess: actualización de una política existente |
11 |
Se ha añadido un recurso al permiso |
15 de agosto de 2024 |
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy: política nueva |
1 |
Política inicial |
26 de julio de 2024 |
AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente |
3 |
Se han añadido los permisos |
18 de julio de 2024 |
AmazonSageMakerCanvasFullAccess - Actualización de una política existente |
10 |
Se han añadido los permisos Se han añadido los permisos Se agregaron los permisos Se agregaron los permisos Se han añadido los permisos |
9 de julio de 2024 |
AmazonSageMakerCanvasBedrockAccess: política nueva |
1 |
Política inicial |
2 de febrero de 2024 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
9 |
Se agregó el permiso |
24 de enero de 2024 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
8 |
Se han añadido los permisos |
8 de diciembre de 2023 |
AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente |
2 |
Pequeña actualización para aplicar los objetivos de la política anterior, versión 1; no se han añadido ni eliminado permisos. |
7 de diciembre de 2023 |
AmazonSageMakerCanvasAIServicesAcceso: actualización de una política existente |
3 |
Se han añadido los permisos |
29 de noviembre de 2023 |
AmazonSageMakerCanvasDataPrepFullAccess - Nueva política |
1 |
Política inicial |
26 de octubre de 2023 |
AmazonSageMakerCanvasDirectDeployAccess: política nueva |
1 |
Política inicial |
6 de octubre de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
7 |
Se agregaron los permisos |
29 de septiembre de 2023 |
AmazonSageMakerCanvasAIServicesAcceso: actualización a una política existente |
2 |
Se agregaron los permisos |
29 de septiembre de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
6 |
Se agregó el permiso |
29 de agosto de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
5 |
Se agregaron los permisos |
24 de julio de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
4 |
Se agregaron los permisos |
4 de mayo de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
3 |
Se agregaron los permisos |
24 de marzo de 2023 |
AmazonSageMakerCanvasAIServicesAcceso: nueva política |
1 |
Política inicial |
23 de marzo de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
2 |
Se agregó el permiso |
6 de diciembre de 2022 |
AmazonSageMakerCanvasFullAccess - Nueva política |
1 |
Política inicial |
8 de septiembre de 2022 |
AmazonSageMakerCanvasForecastAccess: política nueva |
1 |
Política inicial |
24 de agosto de 2022 |