AWS políticas gestionadas para Amazon SageMaker Canvas - Amazon SageMaker AI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para Amazon SageMaker Canvas

Estas políticas AWS gestionadas añaden los permisos necesarios para usar Amazon SageMaker Canvas. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.

AWS política gestionada: AmazonSageMakerCanvasFullAccess

Esta política otorga permisos que permiten el acceso total a Amazon SageMaker Canvas a través del SDK AWS Management Console y. La política también proporciona acceso selecto a servicios relacionados [por ejemplo, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry y AWS Secrets Manager Amazon Forecast SageMaker Amazon SageMaker ].

El objetivo de esta política es ayudar a los clientes a experimentar y empezar a utilizar todas las funciones de Canvas. SageMaker Para obtener un control más detallado, se sugiere a los clientes que creen sus propias versiones reducidas a medida que pasen a las cargas de trabajo de producción. Para obtener más información, consulte IAM policy types: How and when to use them.

Detalles de los permisos

Esta política AWS administrada incluye los siguientes permisos.

  • sagemaker— Permite a los directores crear y alojar modelos de SageMaker IA en recursos cuyo ARN contenga «Canvas», «canvas» o «model-compilation-». Además, los usuarios pueden registrar su modelo SageMaker Canvas en SageMaker AI Model Registry en la misma cuenta. AWS También permite a los directores crear y gestionar trabajos de SageMaker formación, transformación y AutomL.

  • application-autoscaling— Permite a los directores escalar automáticamente un punto final de inferencia de SageMaker IA.

  • athena: permite a las entidades principales consultar una lista de catálogos de datos, bases de datos y metadatos de tablas de Amazon Athena, y acceder a las tablas de los catálogos.

  • cloudwatch— Permite a los directores crear y gestionar las CloudWatch alarmas de Amazon.

  • ec2: permite a las entidades principales crear puntos de conexión de Amazon VPC.

  • ecr: permite a las entidades principales obtener información acerca de la imagen de un contenedor.

  • emr-serverless: permite a las entidades principales crear y administrar aplicaciones y ejecuciones de trabajo de Amazon EMR sin servidor. También permite a los directores etiquetar los recursos de SageMaker Canvas.

  • forecast: permite a las entidades principales utilizar Amazon Forecast.

  • glue— Permite a los directores recuperar las tablas, bases de datos y particiones del AWS Glue catálogo.

  • iam— Permite a los directores transferir una función de IAM a Amazon SageMaker AI, Amazon Forecast y Amazon EMR Serverless. También permite a las entidades principales crear un rol vinculado a un servicio.

  • kms— Permite a los directores leer una AWS KMS clave etiquetada con. Source:SageMakerCanvas

  • logs: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión.

  • quicksight— Permite a los directores enumerar los espacios de nombres de la cuenta de Amazon. QuickSight

  • rds: permite a las entidades principales devolver información sobre instancias aprovisionadas de Amazon RDS.

  • redshift: permite a las entidades principales obtener credenciales para un dbuser “sagemaker_access*” en cualquier clúster de Amazon Redshift, si ese usuario existe.

  • redshift-data: permite a las entidades principales ejecutar consultas en Amazon Redshift mediante la API de datos de Amazon Redshift. Esto solo proporciona acceso a los datos de Redshift en APIs sí mismos y no proporciona acceso directo a los clústeres de Amazon Redshift. Para obtener más información, consulte Uso de la API de datos de Amazon Redshift.

  • s3: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker». También permite a los directores recuperar objetos de los buckets de Amazon S3 cuyo ARN comience por «jumpstart-cache-prod-» en regiones específicas.

  • secretsmanager: permite a las entidades principales almacenar las credenciales de los clientes para conectarse a una base de datos de Snowflake mediante Secrets Manager.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

AWS política administrada: AmazonSageMakerCanvasDataPrepFullAccess

Esta política otorga permisos que permiten el acceso total a la funcionalidad de preparación de datos de Amazon SageMaker Canvas. La política también proporciona permisos con privilegios mínimos para los servicios que se integran con la funcionalidad de preparación de datos [por ejemplo, Amazon Simple Storage Service (Amazon S3) AWS Identity and Access Management , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () y]. AWS Key Management Service AWS KMS AWS Secrets Manager

Detalles de los permisos

Esta política AWS administrada incluye los siguientes permisos.

  • sagemaker: permite a las entidades principales acceder a los trabajos de procesamiento, los trabajos de entrenamiento, las canalizaciones de inferencia, los trabajos de AutoML y los grupo de características.

  • athena: permite a las entidades principales consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde Amazon Athena.

  • elasticmapreduce: permite a las entidades principales leer y enumerar los clústeres de Amazon EMR.

  • emr-serverless: permite a las entidades principales crear y administrar aplicaciones y ejecuciones de trabajo de Amazon EMR sin servidor. También permite a los directores etiquetar los recursos de SageMaker Canvas.

  • events— Permite a los directores crear, leer, actualizar y añadir objetivos a EventBridge las reglas de Amazon para los trabajos programados.

  • glue— Permite a los directores obtener y buscar tablas en las bases de datos del catálogo. AWS Glue

  • iam— Permite a los directores transferir una función de IAM a Amazon SageMaker AI y Amazon EMR Serverless. EventBridge También permite a las entidades principales crear un rol vinculado a un servicio.

  • kms— Permite a los directores recuperar los AWS KMS alias almacenados en los trabajos y puntos de conexión y acceder a la clave KMS asociada.

  • logs: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión.

  • redshift: permite a las entidades principales obtener las credenciales para acceder a una base de datos de Amazon Redshift.

  • redshift-data: permite a las entidades principales ejecutar, cancelar, describir, enumerar y obtener los resultados de las consultas de Amazon Redshift. También permite a las entidades principales enumerar los esquemas y tablas de Amazon Redshift.

  • s3: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker», o estén etiquetados con «», sin distinguir mayúsculas de minúsculas. SageMaker

  • secretsmanager: permite a las entidades principales almacenar y recuperar las credenciales de la base de datos de clientes mediante Secrets Manager.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess

Esta política concede los permisos necesarios para que Amazon SageMaker Canvas cree y gestione los puntos de enlace de Amazon SageMaker AI.

Detalles de los permisos

Esta política AWS gestionada incluye los siguientes permisos.

  • sagemaker— Permite a los directores crear y gestionar puntos finales de SageMaker IA con un nombre de recurso ARN que comience por «Canvas» o «canvas».

  • cloudwatch— Permite a los directores recuperar los datos CloudWatch métricos de Amazon.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }

AWS política gestionada: Acceso AmazonSageMakerCanvas AIServices

Esta política otorga permisos a Amazon SageMaker Canvas para usar Amazon Textract, Amazon Rekognition, Amazon Comprehend y Amazon Bedrock.

Detalles de los permisos

Esta política AWS administrada incluye los siguientes permisos.

  • textract: permite a las entidades principales utilizar Amazon Textract para detectar documentos, gastos e identidades dentro de una imagen.

  • rekognition: permite a las entidades principales utilizar Amazon Rekognition para detectar etiquetas y texto dentro de una imagen.

  • comprehend: permite a las entidades principales utilizar Amazon Comprehend para detectar sentimientos y el lenguaje dominante, así como entidades con nombre e información de identificación personal (PII) en un documento de texto.

  • bedrock: permite a las entidades principales utilizar Amazon Bedrock para enumerar e invocar modelos básicos.

  • iam: permite a las entidades principales pasar un rol de IAM a Amazon Bedrock.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }

AWS política gestionada: AmazonSageMakerCanvasBedrockAccess

Esta política otorga los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Bedrock.

Detalles de los permisos

Esta política AWS gestionada incluye los siguientes permisos.

  • s3: permite a las entidades principales añadir y recuperar objetos de buckets de Amazon S3 en el directorio sagemaker-*/Canvas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }

AWS política gestionada: AmazonSageMakerCanvasForecastAccess

Esta política concede los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Forecast.

Detalles de los permisos

Esta política AWS gestionada incluye los siguientes permisos.

  • s3: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre comience por “sagemaker-”.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }

AWS política gestionada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy

Esta política concede permisos a Amazon EMR Serverless para AWS servicios, como Amazon S3, que Amazon SageMaker Canvas utiliza para el procesamiento de datos de gran tamaño.

Detalles de los permisos

Esta política AWS administrada incluye los siguientes permisos.

  • s3: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos están limitados a aquellos cuyo nombre incluya «» o SageMaker «sagemaker», o que estén etiquetados con SageMaker «», sin distinguir mayúsculas y minúsculas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

AWS política gestionada: AmazonSageMakerCanvas SMData ScienceAssistantAccess

Esta política otorga permisos a los usuarios de Amazon SageMaker Canvas para iniciar conversaciones con Amazon Q Developer. Esta función requiere permisos tanto para Amazon Q Developer como para el servicio SageMaker AI Data Science Assistant.

Detalles de los permisos

Esta política AWS gestionada incluye los siguientes permisos.

  • q— Permite a los directores enviar mensajes al desarrollador de Amazon Q.

  • sagemaker-data-science-assistant— Permite a los directores enviar mensajes al servicio SageMaker Canvas Data Science Assistant.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerDataScienceAssistantAccess", "Effect": "Allow", "Action": [ "sagemaker-data-science-assistant:SendConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AmazonQDeveloperAccess", "Effect": "Allow", "Action": [ "q:SendMessage", "q:StartConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

Amazon SageMaker AI actualiza las políticas gestionadas de Amazon SageMaker Canvas

Vea los detalles sobre las actualizaciones de las políticas AWS administradas de SageMaker Canvas desde que este servicio comenzó a rastrear estos cambios.

Política Versión Cambio Date

AmazonSageMakerCanvasSMDataScienceAssistantAccess: actualización de una política existente

2

Se agregó el permiso q:StartConversation.

14 de enero de 2025

AmazonSageMakerCanvasSMDataScienceAssistantAccess: política nueva

1

Política inicial

4 de diciembre de 2024

AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente

4

Se ha añadido un recurso al permiso IAMPassOperationForEMRServerless.

16 de agosto de 2024

AmazonSageMakerCanvasFullAccess: actualización de una política existente

11

Se ha añadido un recurso al permiso IAMPassOperationForEMRServerless.

15 de agosto de 2024

AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy: política nueva

1

Política inicial

26 de julio de 2024

AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente

3

Se han añadido los permisos emr-serverless:CreateApplication, emr-serverless:ListApplications, emr-serverless:UpdateApplication, emr-serverless:GetApplication, emr-serverless:StartJobRun, emr-serverless:ListJobRuns, emr-serverless:GetJobRun, emr-serverless:CancelJobRun y emr-serverless:TagResource.

18 de julio de 2024

AmazonSageMakerCanvasFullAccess - Actualización de una política existente

10

Se han añadido los permisos application-autoscaling:DescribeScalingActivities iam:PassRole, kms:DescribeKey y quicksight:ListNamespaces.

Se han añadido los permisos sagemaker:CreateTrainingJob, sagemaker:CreateTransformJob, sagemaker:DescribeTrainingJob, sagemaker:DescribeTransformJob, sagemaker:StopAutoMLJob, sagemaker:StopTrainingJob y sagemaker:StopTransformJob.

Se agregaron los permisos athena:ListTableMetadata, athena:ListDataCatalogs y athena:ListDatabases.

Se agregaron los permisos glue:GetDatabases, glue:GetPartitions y glue:GetTables.

Se han añadido los permisos emr-serverless:CreateApplication, emr-serverless:ListApplications, emr-serverless:UpdateApplication, emr-serverless:StopApplication, emr-serverless:GetApplication, emr-serverless:StartApplication, emr-serverless:StartJobRun, emr-serverless:ListJobRuns, emr-serverless:GetJobRun, emr-serverless:CancelJobRun y emr-serverless:TagResource.

9 de julio de 2024

AmazonSageMakerCanvasBedrockAccess: política nueva

1

Política inicial

2 de febrero de 2024

AmazonSageMakerCanvasFullAccess - Actualización a una política existente

9

Se agregó el permiso sagemaker:ListEndpoints.

24 de enero de 2024

AmazonSageMakerCanvasFullAccess - Actualización a una política existente

8

Se han añadido los permisos sagemaker:UpdateEndpointWeightsAndCapacities, sagemaker:DescribeEndpointConfig, sagemaker:InvokeEndpointAsync, athena:ListDataCatalogs, athena:GetQueryExecution, athena:GetQueryResults, athena:StartQueryExecution, athena:StopQueryExecution, athena:ListDatabases, cloudwatch:DescribeAlarms, cloudwatch:PutMetricAlarm, cloudwatch:DeleteAlarms yiam:CreateServiceLinkedRole.

8 de diciembre de 2023

AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente

2

Pequeña actualización para aplicar los objetivos de la política anterior, versión 1; no se han añadido ni eliminado permisos.

7 de diciembre de 2023

AmazonSageMakerCanvasAIServicesAcceso: actualización de una política existente

3

Se han añadido los permisos bedrock:InvokeModelWithResponseStream, bedrock:GetModelCustomizationJob, bedrock:StopModelCustomizationJob, bedrock:GetCustomModel, bedrock:GetProvisionedModelThroughput, bedrock:DeleteProvisionedModelThroughput, bedrock:TagResource, bedrock:CreateModelCustomizationJob, bedrock:CreateProvisionedModelThroughput y iam:PassRole.

29 de noviembre de 2023

AmazonSageMakerCanvasDataPrepFullAccess - Nueva política

1

Política inicial

26 de octubre de 2023

AmazonSageMakerCanvasDirectDeployAccess: política nueva

1

Política inicial

6 de octubre de 2023

AmazonSageMakerCanvasFullAccess - Actualización a una política existente

7

Se agregaron los permisos sagemaker:DeleteEndpointConfig, sagemaker:DeleteModel y sagemaker:InvokeEndpoint. Añada también s3:GetObject permisos para JumpStart recursos en regiones específicas.

29 de septiembre de 2023

AmazonSageMakerCanvasAIServicesAcceso: actualización a una política existente

2

Se agregaron los permisos bedrock:InvokeModel y bedrock:ListFoundationModels.

29 de septiembre de 2023

AmazonSageMakerCanvasFullAccess - Actualización a una política existente

6

Se agregó el permiso rds:DescribeDBInstances.

29 de agosto de 2023

AmazonSageMakerCanvasFullAccess - Actualización a una política existente

5

Se agregaron los permisos application-autoscaling:PutScalingPolicy y application-autoscaling:RegisterScalableTarget.

24 de julio de 2023

AmazonSageMakerCanvasFullAccess - Actualización a una política existente

4

Se agregaron los permisos sagemaker:CreateModelPackage, sagemaker:CreateModelPackageGroup, sagemaker:DescribeModelPackage, sagemaker:DescribeModelPackageGroup, sagemaker:ListModelPackages y sagemaker:ListModelPackageGroups.

4 de mayo de 2023

AmazonSageMakerCanvasFullAccess - Actualización a una política existente

3

Se agregaron los permisos sagemaker:CreateAutoMLJobV2, sagemaker:DescribeAutoMLJobV2 y glue:SearchTables.

24 de marzo de 2023

AmazonSageMakerCanvasAIServicesAcceso: nueva política

1

Política inicial

23 de marzo de 2023

AmazonSageMakerCanvasFullAccess - Actualización a una política existente

2

Se agregó el permiso forecast:DeleteResourceTree.

6 de diciembre de 2022

AmazonSageMakerCanvasFullAccess - Nueva política

1

Política inicial

8 de septiembre de 2022

AmazonSageMakerCanvasForecastAccess: política nueva

1

Política inicial

24 de agosto de 2022