AWS Políticas gestionadas para Amazon SageMaker - Amazon SageMaker
AmazonSageMakerFullAccessAmazonSageMakerReadOnlyActualizaciones SageMaker de la política de Amazon

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Políticas gestionadas para Amazon SageMaker

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Crear políticas gestionadas por los IAM clientes que proporcionen a tu equipo solo los permisos que necesita requiere tiempo y experiencia. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del IAM usuario.

AWS los servicios mantienen y AWS actualizan las políticas administradas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) a las que se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y una descripción de las políticas de funciones laborales, consulte las políticas AWS administradas para las funciones laborales en la Guía del IAMusuario.

importante

Se recomienda utilizar la política más restringida que le permita llevar a cabo su caso de uso.

Las siguientes políticas AWS gestionadas, que puedes adjuntar a los usuarios de tu cuenta, son específicas de Amazon SageMaker:

  • AmazonSageMakerFullAccess— Otorga acceso total a los recursos SageMaker geoespaciales SageMaker y de Amazon y a las operaciones compatibles. No proporciona acceso ilimitado a Amazon S3, pero admite buckets y objetos con etiquetas de sagemaker específicas. Esta política permite IAM transferir todos los roles a Amazon SageMaker, pero solo permite transferir los IAM roles que contengan AmazonSageMaker «» a los AWS Glue AWS RoboMaker servicios y. AWS Step Functions

  • AmazonSageMakerReadOnly— Otorga acceso de solo lectura a los recursos de Amazon SageMaker .

Las siguientes políticas AWS gestionadas se pueden adjuntar a los usuarios de tu cuenta, pero no se recomiendan:

  • AdministratorAccess: concede todas las acciones para todos los servicios de AWS y para todos los recursos en la cuenta.

  • DataScientist: concede una amplia gama de permisos para cubrir la mayoría de los casos de uso (principalmente para la inteligencia empresarial y el análisis) que detectan los analizadores de datos.

Puedes revisar estas políticas de permisos iniciando sesión en la IAM consola y buscándolas.

También puedes crear tus propias IAM políticas personalizadas para permitir permisos para las SageMaker acciones y los recursos de Amazon a medida que los necesites. Puede asociar estas políticas personalizadas a los usuarios o grupos de que las requieran.

Temas

AWS política gestionada: AmazonSageMakerFullAccess

Esta política otorga permisos administrativos que permiten a los principales acceder plenamente a todos los recursos SageMaker y operaciones SageMaker geoespaciales y de Amazon. La política también brinda acceso selecto a los servicios relacionados. Esta política permite IAM transferir todos los roles a Amazon SageMaker, pero solo permite transferir los IAM roles que contengan AmazonSageMaker «» a los AWS Glue AWS RoboMaker servicios y. AWS Step Functions Esta política no incluye los permisos para crear un SageMaker dominio de Amazon. Para obtener información sobre la política necesaria para crear un dominio, consulte Completa los SageMaker requisitos previos de Amazon.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • application-autoscaling— Permite a los directores escalar automáticamente un punto final de inferencia SageMaker en tiempo real.

  • athena— Permite a los directores consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde. Amazon Athena

  • aws-marketplace— Permite a los directores ver las suscripciones de AWS AI Marketplace. Lo necesitas si quieres acceder al SageMaker software al que estás suscrito. AWS Marketplace

  • cloudformation— Permite a los directores obtener AWS CloudFormation plantillas para usar SageMaker JumpStart soluciones y canalizaciones. SageMaker JumpStartcrea los recursos necesarios para ejecutar soluciones end-to-end de aprendizaje automático vinculadas SageMaker a otros AWS servicios. SageMaker Pipelines crea nuevos proyectos respaldados por Service Catalog.

  • cloudwatch— Permite a los directores publicar CloudWatch métricas, interactuar con las alarmas y cargar registros en los registros de su cuenta. CloudWatch

  • codebuild— Permite a los directores almacenar AWS CodeBuild artefactos para SageMaker Pipeline y Projects.

  • codecommit— Necesario para AWS CodeCommit la integración con instancias de SageMaker notebook.

  • cognito-idp— Necesario para que Amazon SageMaker Ground Truth defina la fuerza laboral privada y los equipos de trabajo.

  • ec2— Necesario SageMaker para gestionar EC2 los recursos y las interfaces de red de Amazon cuando especificas un Amazon VPC para tus SageMaker trabajos, modelos, puntos de conexión e instancias de notebook.

  • ecr— Necesario para extraer y almacenar artefactos de Docker para Amazon SageMaker Studio Classic (imágenes personalizadas), entrenamiento, procesamiento, inferencia por lotes y puntos finales de inferencia. Esto también es necesario para usar tu propio contenedor. SageMaker Se requieren permisos adicionales para las SageMaker JumpStart soluciones a fin de crear y eliminar imágenes personalizadas en nombre de los usuarios.

  • elasticfilesystem: permite a las entidades principales acceder a Amazon Elastic File System. Esto es necesario SageMaker para utilizar las fuentes de datos de Amazon Elastic File System para entrenar modelos de aprendizaje automático.

  • fsx— Permite a los directores acceder a AmazonFSx. Esto es necesario SageMaker para utilizar las fuentes de datos de Amazon FSx para entrenar modelos de aprendizaje automático.

  • glue— Necesario para el procesamiento previo del proceso de inferencia desde instancias de SageMaker cuadernos.

  • groundtruthlabeling: se requiere para los trabajos de etiquetado de Ground Truth. Se accede al punto de conexión groundtruthlabeling mediante la consola de Ground Truth.

  • iam— Necesario para dar acceso a la SageMaker consola a las IAM funciones disponibles y crear funciones vinculadas a servicios.

  • kms— Necesario para permitir a la SageMaker consola acceder a AWS KMS las claves disponibles y recuperarlas para cualquier AWS KMS alias especificado en las tareas y los puntos finales.

  • lambda: permite a las entidades principales invocar y obtener una lista de funciones de AWS Lambda .

  • logs— Necesario para permitir que los SageMaker trabajos y los puntos finales publiquen flujos de registro.

  • redshift: permite a las entidades principales acceder a las credenciales del clúster de Amazon Redshift.

  • redshift-data: permite a las entidades principales utilizar los datos de Amazon Redshift para ejecutar, describir y cancelar instrucciones; obtener los resultados de instrucciones; y enumerar esquemas y tablas.

  • robomaker— Permite a los directores tener acceso completo para crear, obtener descripciones y eliminar aplicaciones y trabajos de AWS RoboMaker simulación. También se requiere para ejecutar ejemplos de aprendizaje por refuerzo en instancias de cuadernos.

  • s3, s3express— Permite a los directores tener acceso total a los recursos de Amazon S3 y Amazon S3 Express pertenecientes a Amazon S3 o Amazon S3 Express SageMaker, pero no a todos.

  • sagemaker— Permite a los directores enumerar las etiquetas en los perfiles SageMaker de usuario y añadir etiquetas a SageMaker las aplicaciones y los espacios. Solo permite el acceso a SageMaker las definiciones fluidas de sagemaker: WorkteamType «private-crowd» o «vendor-crowd».

  • sagemakerysagemaker-geospatial: permite a los directores acceder de solo lectura a los dominios y perfiles de usuario. SageMaker

  • secretsmanager: permite a las entidades principales obtener acceso completo a AWS Secrets Manager. Las entidades principales le ayudan a cifrar, almacenar y recuperar de forma segura las credenciales de las bases de datos y otros servicios. Esto también es necesario para las instancias de SageMaker notebook con repositorios de SageMaker código que utilizan. GitHub

  • servicecatalog: permite a las entidades principales utilizar Service Catalog. Los directores pueden crear, obtener una lista, actualizar o cancelar los productos aprovisionados, como servidores, bases de datos, sitios web o aplicaciones implementados mediante recursos. AWS Esto es necesario para que los SageMaker JumpStart proyectos puedan encontrar y leer los productos del catálogo de servicios y lanzar AWS recursos entre los usuarios.

  • sns— Permite a los directores obtener una lista de SNS temas de Amazon. Se requiere para los puntos de conexión con inferencia asíncrona habilitada para notificar a los usuarios que su inferencia se ha completado.

  • states— Necesario para que SageMaker JumpStart y Pipelines usen un catálogo de servicios para crear recursos de funciones escalonadas.

  • tag— Necesario para que SageMaker Pipelines se renderice en Studio Classic. Studio Classic necesita recursos etiquetados con una clave de sagemaker:project-id etiqueta específica. Esto requiere el permiso tag:GetResources.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAllNonAdminSageMakerActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:*",
        "sagemaker-geospatial:*"
      ],
      "NotResource": [
        "arn:aws:sagemaker:*:*:domain/*",
        "arn:aws:sagemaker:*:*:user-profile/*",
        "arn:aws:sagemaker:*:*:app/*",
        "arn:aws:sagemaker:*:*:space/*",
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ]
    },
    {
      "Sid": "AllowAddTagsForSpace",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:space/*"
      ],
      "Condition": {
        "StringEquals": {
          "sagemaker:TaggingAction": "CreateSpace"
        }
      }
    },
    {
      "Sid": "AllowAddTagsForApp",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:app/*"
      ]
    },
    {
      "Sid": "AllowStudioActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowAppActionsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "AllowAppActionsForSharedSpaces",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private",
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private"
          ]
        }
      }
    },
    {
      "Sid": "AllowFlowDefinitionActions",
      "Effect": "Allow",
      "Action": "sagemaker:*",
      "Resource": [
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ],
      "Condition": {
        "StringEqualsIfExists": {
          "sagemaker:WorkteamType": [
            "private-crowd",
            "vendor-crowd"
          ]
        }
      }
    },
    {
      "Sid": "AllowAWSServiceActions",
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DeleteScalingPolicy",
        "application-autoscaling:DeleteScheduledAction",
        "application-autoscaling:DeregisterScalableTarget",
        "application-autoscaling:DescribeScalableTargets",
        "application-autoscaling:DescribeScalingActivities",
        "application-autoscaling:DescribeScalingPolicies",
        "application-autoscaling:DescribeScheduledActions",
        "application-autoscaling:PutScalingPolicy",
        "application-autoscaling:PutScheduledAction",
        "application-autoscaling:RegisterScalableTarget",
        "aws-marketplace:ViewSubscriptions",
        "cloudformation:GetTemplateSummary",
        "cloudwatch:DeleteAlarms",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:PutMetricData",
        "codecommit:BatchGetRepositories",
        "codecommit:CreateRepository",
        "codecommit:GetRepository",
        "codecommit:List*",
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:List*",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient",
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage",
        "ecr:CreateRepository",
        "ecr:Describe*",
        "ecr:GetAuthorizationToken",
        "ecr:GetDownloadUrlForLayer",
        "ecr:StartImageScan",
        "elastic-inference:Connect",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeMountTargets",
        "fsx:DescribeFileSystems",
        "glue:CreateJob",
        "glue:DeleteJob",
        "glue:GetJob*",
        "glue:GetTable*",
        "glue:GetWorkflowRun",
        "glue:ResetJobBookmark",
        "glue:StartJobRun",
        "glue:StartWorkflowRun",
        "glue:UpdateJob",
        "groundtruthlabeling:*",
        "iam:ListRoles",
        "kms:DescribeKey",
        "kms:ListAliases",
        "lambda:ListFunctions",
        "logs:CreateLogDelivery",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DeleteLogDelivery",
        "logs:Describe*",
        "logs:GetLogDelivery",
        "logs:GetLogEvents",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:PutResourcePolicy",
        "logs:UpdateLogDelivery",
        "robomaker:CreateSimulationApplication",
        "robomaker:DescribeSimulationApplication",
        "robomaker:DeleteSimulationApplication",
        "robomaker:CreateSimulationJob",
        "robomaker:DescribeSimulationJob",
        "robomaker:CancelSimulationJob",
        "secretsmanager:ListSecrets",
        "servicecatalog:Describe*",
        "servicecatalog:List*",
        "servicecatalog:ScanProvisionedProducts",
        "servicecatalog:SearchProducts",
        "servicecatalog:SearchProvisionedProducts",
        "sns:ListTopics",
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowECRActions",
      "Effect": "Allow",
      "Action": [
        "ecr:SetRepositoryPolicy",
        "ecr:CompleteLayerUpload",
        "ecr:BatchDeleteImage",
        "ecr:UploadLayerPart",
        "ecr:DeleteRepositoryPolicy",
        "ecr:InitiateLayerUpload",
        "ecr:DeleteRepository",
        "ecr:PutImage"
      ],
      "Resource": [
        "arn:aws:ecr:*:*:repository/*sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeCommitActions",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull",
        "codecommit:GitPush"
      ],
      "Resource": [
        "arn:aws:codecommit:*:*:*sagemaker*",
        "arn:aws:codecommit:*:*:*SageMaker*",
        "arn:aws:codecommit:*:*:*Sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeBuildActions",
      "Action": [
        "codebuild:BatchGetBuilds",
        "codebuild:StartBuild"
      ],
      "Resource": [
        "arn:aws:codebuild:*:*:project/sagemaker*",
        "arn:aws:codebuild:*:*:build/*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowStepFunctionsActions",
      "Action": [
        "states:DescribeExecution",
        "states:GetExecutionHistory",
        "states:StartExecution",
        "states:StopExecution",
        "states:UpdateStateMachine"
      ],
      "Resource": [
        "arn:aws:states:*:*:statemachine:*sagemaker*",
        "arn:aws:states:*:*:execution:*sagemaker*:*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowSecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:CreateSecret"
      ],
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
      ]
    },
    {
      "Sid": "AllowReadOnlySecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "secretsmanager:ResourceTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowServiceCatalogProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:ProvisionProduct"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:TerminateProvisionedProduct",
        "servicecatalog:UpdateProvisionedProduct"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "servicecatalog:userLevel": "self"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*",
        "arn:aws:s3:::*aws-glue*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "s3:ExistingObjectTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
        }
      }
    },
    {
      "Sid": "AllowS3BucketActions",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetBucketLocation",
        "s3:ListBucket",
        "s3:ListAllMyBuckets",
        "s3:GetBucketCors",
        "s3:PutBucketCors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowS3BucketACL",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AllowLambdaInvokeFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:InvokeFunction"
      ],
      "Resource": [
        "arn:aws:lambda:*:*:function:*SageMaker*",
        "arn:aws:lambda:*:*:function:*sagemaker*",
        "arn:aws:lambda:*:*:function:*Sagemaker*",
        "arn:aws:lambda:*:*:function:*LabelingFunction*"
      ]
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
      "Action": "iam:CreateServiceLinkedRole",
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForRobomaker",
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "robomaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowSNSActions",
      "Effect": "Allow",
      "Action": [
        "sns:Subscribe",
        "sns:CreateTopic",
        "sns:Publish"
      ],
      "Resource": [
        "arn:aws:sns:*:*:*SageMaker*",
        "arn:aws:sns:*:*:*Sagemaker*",
        "arn:aws:sns:*:*:*sagemaker*"
      ]
    },
    {
      "Sid": "AllowPassRoleForSageMakerRoles",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": [
            "glue.amazonaws.com",
            "robomaker.amazonaws.com",
            "states.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowPassRoleToSageMaker",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowAthenaActions",
      "Effect": "Allow",
      "Action": [
        "athena:ListDataCatalogs",
        "athena:ListDatabases",
        "athena:ListTableMetadata",
        "athena:GetQueryExecution",
        "athena:GetQueryResults",
        "athena:StartQueryExecution",
        "athena:StopQueryExecution"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowGlueCreateTable",
      "Effect": "Allow",
      "Action": [
        "glue:CreateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueUpdateTable",
      "Effect": "Allow",
      "Action": [
        "glue:UpdateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore"
      ]
    },
    {
      "Sid": "AllowGlueDeleteTable",
      "Effect": "Allow",
      "Action": [
        "glue:DeleteTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetTablesAndDatabases",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabases",
        "glue:GetTable",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetAndCreateDatabase",
      "Effect": "Allow",
      "Action": [
        "glue:CreateDatabase",
        "glue:GetDatabase"
      ],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore",
        "arn:aws:glue:*:*:database/sagemaker_processing",
        "arn:aws:glue:*:*:database/default",
        "arn:aws:glue:*:*:database/sagemaker_data_wrangler"
      ]
    },
    {
      "Sid": "AllowRedshiftDataActions",
      "Effect": "Allow",
      "Action": [
        "redshift-data:ExecuteStatement",
        "redshift-data:DescribeStatement",
        "redshift-data:CancelStatement",
        "redshift-data:GetStatementResult",
        "redshift-data:ListSchemas",
        "redshift-data:ListTables"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowRedshiftGetClusterCredentials",
      "Effect": "Allow",
      "Action": [
        "redshift:GetClusterCredentials"
      ],
      "Resource": [
        "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
        "arn:aws:redshift:*:*:dbname:*"
      ]
    },
    {
      "Sid": "AllowListTagsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:ListTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:user-profile/*"
      ]
    },
    {
      "Sid": "AllowCloudformationListStackResources",
      "Effect": "Allow",
      "Action": [
        "cloudformation:ListStackResources"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
    },
    {
      "Sid": "AllowS3ExpressObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateSession"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*",
        "arn:aws:s3express:*:*:bucket/*aws-glue*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressCreateBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressListBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:ListAllMyDirectoryBuckets"
      ],
      "Resource": "*"
    }
  ]
}
Mostrar másMostrar menos

AWS política gestionada: AmazonSageMakerReadOnly

Esta política otorga acceso de solo lectura a Amazon a SageMaker través de y. AWS Management Console SDK

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • application-autoscaling— Permite a los usuarios buscar descripciones de puntos finales de inferencia escalables SageMaker en tiempo real.

  • aws-marketplace— Permite a los usuarios ver las suscripciones de AWS AI Marketplace.

  • cloudwatch— Permite a los usuarios recibir CloudWatch alarmas.

  • cognito-idp— Necesario para que Amazon SageMaker Ground Truth explore las descripciones y listas de personal y equipos de trabajo privados.

  • ecr: se requiere para leer artefactos de Docker para el entrenamiento y la inferencia.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:Describe*",
                "sagemaker:List*",
                "sagemaker:BatchGetMetrics",
                "sagemaker:GetDeviceRegistration",
                "sagemaker:GetDeviceFleetReport",
                "sagemaker:GetSearchSuggestions",
                "sagemaker:BatchGetRecord",
                "sagemaker:GetRecord",
                "sagemaker:Search",
                "sagemaker:QueryLineage",
                "sagemaker:GetLineageGroupPolicy",
                "sagemaker:BatchDescribeModelPackage",
                "sagemaker:GetModelPackageGroupPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "aws-marketplace:ViewSubscriptions",
                "cloudwatch:DescribeAlarms",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "ecr:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

SageMaker Actualizaciones de las políticas AWS gestionadas

Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas SageMaker desde que este servicio comenzó a rastrear estos cambios.

Política Versión Cambio Date

AmazonSageMakerFullAccess: actualización de una política existente

 26

Se agregó el permiso sagemaker:AddTags.

29 de marzo de 2024

AmazonSageMakerFullAccess - Actualización de una política existente

 25

Agrega sagemaker:CreateAppsagemaker:DescribeApp,sagemaker:DeleteApp,sagemaker:CreateSpace,sagemaker:UpdateSpace,sagemaker:DeleteSpace, s3express:CreateSessions3express:CreateBucket, y s3express:ListAllMyDirectoryBuckets permisos.

30 de noviembre de 2023

AmazonSageMakerFullAccess - Actualizar a una política existente

 24

Se agregaron los permisos sagemaker-geospatial:*, sagemaker:AddTags, sagemaker-ListTags, sagemaker-DescribeSpace y sagemaker:ListSpaces.

30 de noviembre de 2022

AmazonSageMakerFullAccess - Actualización a una política existente

 23

Añada glue:UpdateTable.

29 de junio de 2022

AmazonSageMakerFullAccess - Actualización a una política existente

 22

Añada cloudformation:ListStackResources.

1 de mayo de 2022

AmazonSageMakerReadOnly: actualización de una política existente

 11

Se agregaron los permisos sagemaker:QueryLineage, sagemaker:GetLineageGroupPolicy, sagemaker:BatchDescribeModelPackage, sagemaker:GetModelPackageGroupPolicy.

1 de diciembre de 2021

AmazonSageMakerFullAccess - Actualización a una política existente

 21

Se agregaron los permisos sns:Publish para los puntos de conexión con la inferencia asíncrona habilitada.

8 de septiembre de 2021

AmazonSageMakerFullAccess - Actualización a una política existente

 20

Se actualizaron los recursos y los permisos de iam:PassRole.

15 de julio de 2021

AmazonSageMakerReadOnly - Actualización a una política existente

 10

APIBatchGetRecordSe agregó una nueva versión para SageMaker Feature Store.

10 de junio de 2021

SageMaker comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.

 1 de junio de 2021