Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para Amazon SageMaker Canvas
Estas políticas AWS gestionadas añaden los permisos necesarios para usar Amazon SageMaker Canvas. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la SageMaker consola.
Temas
- AWS política gestionada: AmazonSageMakerCanvasFullAccess
- AWS política gestionada: AmazonSageMakerCanvasDataPrepFullAccess
- AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess
- AWS política gestionada: IA AmazonSageMakerCanvas ServicesAccess
- AWS política gestionada: AmazonSageMakerCanvasBedrockAccess
- AWS política gestionada: AmazonSageMakerCanvasForecastAccess
- Amazon SageMaker actualiza las políticas gestionadas de Amazon SageMaker Canvas
AWS política gestionada: AmazonSageMakerCanvasFullAccess
Esta política otorga permisos que permiten el acceso total a Amazon SageMaker Canvas a través del SDK AWS Management Console y. La política también proporciona acceso selecto a servicios relacionados [por ejemplo, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry y AWS Secrets Manager Amazon Forecast SageMaker Amazon SageMaker ].
El objetivo de esta política es ayudar a los clientes a experimentar y empezar a utilizar todas las funciones de Canvas. SageMaker Para obtener un control más detallado, se sugiere a los clientes que creen sus propias versiones reducidas a medida que pasen a las cargas de trabajo de producción. Para obtener más información, consulte IAM policy types: How and when to use them
Detalles de los permisos
Esta política AWS administrada incluye los siguientes permisos.
-
sagemaker— Permite a los directores crear y alojar SageMaker modelos en recursos cuyo ARN contenga «Canvas», «canvas» o «model-compilation-». Además, los usuarios pueden registrar su modelo SageMaker Canvas en Model Registry en la SageMaker misma cuenta. AWS -
ec2: permite a las entidades principales crear puntos de conexión de Amazon VPC. -
ecr: permite a las entidades principales obtener información acerca de la imagen de un contenedor. -
glue: permite a las entidades principales recuperar las tablas en el catálogo. -
iam— Permite a los directores transferir una función de IAM a Amazon SageMaker y Amazon Forecast. También permite a los directores crear un rol vinculado a un servicio. -
logs: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión. -
s3: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker». También permite a las entidades principales recuperar objetos de los buckets de Amazon S3 cuyo ARN comience por “jumpstart-cache-prod-” en regiones específicas. -
secretsmanager: permite a las entidades principales almacenar las credenciales de los clientes para conectarse a una base de datos de Snowflake mediante Secrets Manager. -
redshift: permite a las entidades principales obtener credenciales para un dbuser “sagemaker_access*” en cualquier clúster de Amazon Redshift, si ese usuario existe. -
redshift-data: permite a las entidades principales ejecutar consultas en Amazon Redshift mediante la API de datos de Amazon Redshift. Esto solo proporciona acceso a las propias API de Redshift Data y no proporciona acceso directo a los clústeres de Amazon Redshift. Para obtener más información, consulte Uso de la API de datos de Amazon Redshift. -
forecast: permite a las entidades principales utilizar Amazon Forecast. -
application-autoscaling— Permite a los directores escalar automáticamente un SageMaker punto final de inferencia. -
rds: permite a las entidades principales devolver información sobre instancias aprovisionadas de Amazon RDS. -
cloudwatch— Permite a los directores crear y gestionar las CloudWatch alarmas de Amazon. -
athena— Permite a los directores crear, leer y gestionar consultas, catálogos y ejecuciones de Amazon Athena.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } ] }
AWS política gestionada: AmazonSageMakerCanvasDataPrepFullAccess
Esta política otorga permisos que permiten el acceso total a la funcionalidad de preparación de datos de Amazon SageMaker Canvas. La política también proporciona permisos con privilegios mínimos para los servicios que se integran con la funcionalidad de preparación de datos [por ejemplo, Amazon Simple Storage Service (Amazon S3) AWS Identity and Access Management , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () y]. AWS Key Management Service AWS KMS AWS Secrets Manager
Detalles de los permisos
Esta política AWS administrada incluye los siguientes permisos.
-
sagemaker— Permite a los directores acceder a los trabajos de procesamiento, los trabajos de formación, las canalizaciones de inferencia, los trabajos de AutoML y los grupos de funciones. -
athena— Permite a los directores consultar una lista de catálogos de datos, bases de datos y metadatos de tablas de Amazon Athena. -
elasticmapreduce— Permite a los directores leer y enumerar los clústeres de Amazon EMR. -
events— Permite a los directores crear, leer, actualizar y añadir objetivos a EventBridge las reglas de Amazon para los trabajos programados. -
glue— Permite a los directores obtener y buscar tablas en las bases de datos del catálogo. AWS Glue -
iam— Permite a los directores transferir una función de IAM a Amazon SageMaker y. EventBridge -
kms— Permite a los directores recuperar los AWS KMS alias almacenados en los trabajos y puntos de conexión, y acceder a la clave KMS asociada. -
logs: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión. -
redshift— Permite a los directores obtener credenciales para acceder a una base de datos de Amazon Redshift. -
redshift-data— Permite a los directores ejecutar, cancelar, describir, enumerar y obtener los resultados de las consultas de Amazon Redshift. También permite a los directores enumerar los esquemas y tablas de Amazon Redshift. -
s3: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker», o que estén etiquetados con «», sin distinguir mayúsculas de minúsculas. SageMaker -
secretsmanager— Permite a los directores almacenar y recuperar las credenciales de la base de datos de clientes mediante Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" } ] }
AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess
Esta política concede los permisos necesarios para que Amazon SageMaker Canvas cree y gestione los SageMaker puntos de enlace de Amazon.
Detalles de los permisos
Esta política AWS gestionada incluye los siguientes permisos.
-
sagemaker— Permite a los directores crear y administrar SageMaker puntos finales con un nombre de recurso ARN que comience por «Canvas» o «canvas». -
cloudwatch— Permite a los directores recuperar los datos CloudWatch métricos de Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS política gestionada: IA AmazonSageMakerCanvas ServicesAccess
Esta política otorga permisos a Amazon SageMaker Canvas para usar Amazon Textract, Amazon Rekognition, Amazon Comprehend y Amazon Bedrock.
Detalles de los permisos
Esta política AWS gestionada incluye los siguientes permisos.
-
textract: permite a las entidades principales utilizar Amazon Textract para detectar documentos, gastos e identidades dentro de una imagen. -
rekognition: permite a las entidades principales utilizar Amazon Rekognition para detectar etiquetas y texto dentro de una imagen. -
comprehend: permite a las entidades principales utilizar Amazon Comprehend para detectar sentimientos y el lenguaje dominante, así como entidades con nombre e información de identificación personal (PII) en un documento de texto. -
bedrock: permite a las entidades principales utilizar Amazon Bedrock para enumerar e invocar modelos básicos. -
iam— Permite a los directores transferir una función de IAM a Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS política gestionada: AmazonSageMakerCanvasBedrockAccess
Esta política concede los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Bedrock.
Detalles de los permisos
Esta política AWS gestionada incluye los siguientes permisos.
-
s3— Permite a los directores añadir y recuperar objetos de los buckets de Amazon S3 en el directorio «Sagemaker-*/Canvas».
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS política gestionada: AmazonSageMakerCanvasForecastAccess
Esta política concede los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Forecast.
Detalles de los permisos
Esta política AWS gestionada incluye los siguientes permisos.
-
s3: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre comience por “sagemaker-”.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
Amazon SageMaker actualiza las políticas gestionadas de Amazon SageMaker Canvas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas de SageMaker Canvas desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
|---|---|---|---|
|
AmazonSageMakerCanvasBedrockAccess: política nueva |
1 |
Política inicial |
2 de febrero de 2024 |
|
AmazonSageMakerCanvasFullAccess: actualización de una política existente |
9 |
Se agregó el permiso |
24 de enero de 2024 |
AmazonSageMakerCanvasFullAccess - Actualización de una política existente |
8 |
Agrega |
8 de diciembre de 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente |
2 |
Pequeña actualización para hacer cumplir los propósitos de la política anterior, versión 1; no se agregaron ni eliminaron permisos. |
7 de diciembre de 2023 |
|
AmazonSageMakerCanvasIA ServicesAccess: actualización de una política existente |
3 |
Agrega |
29 de noviembre de 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Nueva política |
1 |
Política inicial |
26 de octubre de 2023 |
|
AmazonSageMakerCanvasDirectDeployAcceso: política nueva |
1 |
Política inicial |
6 de octubre de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
7 |
Se agregaron los permisos |
29 de septiembre de 2023 |
|
AmazonSageMakerCanvasAIServicesAccess : actualización de una política existente |
2 |
Se agregaron los permisos |
29 de septiembre de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización de una política existente |
6 |
Se agregó el permiso |
29 de agosto de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
5 |
Se agregaron los permisos |
24 de julio de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
4 |
Se agregaron los permisos |
4 de mayo de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización a una política existente |
3 |
Se agregaron los permisos |
24 de marzo de 2023 |
|
AmazonSageMakerCanvasIAServicesAccess : nueva política |
1 |
Política inicial |
23 de marzo de 2023 |
AmazonSageMakerCanvasFullAccess - Actualización de una política existente |
2 |
Se agregó el permiso |
6 de diciembre de 2022 |
AmazonSageMakerCanvasFullAccess - Nueva política |
1 |
Política inicial |
8 de septiembre de 2022 |
|
AmazonSageMakerCanvasForecastAccess: política nueva |
1 |
Política inicial |
24 de agosto de 2022 |
