Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon SageMaker Canvas
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Amazon SageMaker Canvas. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés depuis la SageMaker console.
Rubriques
- AWS politique gérée : AmazonSageMakerCanvasFullAccess
- AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
- AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
- AWS politique gérée : AmazonSageMakerCanvas AIServicesAccess
- AWS politique gérée : AmazonSageMakerCanvasBedrockAccess
- AWS politique gérée : AmazonSageMakerCanvasForecastAccess
- AWS politique gérée : AmazonSageMakerCanvas EMRServerlessExecutionRolePolicy
- Amazon SageMaker met à jour les politiques gérées par Amazon SageMaker Canvas
AWS politique gérée : AmazonSageMakerCanvasFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à Amazon SageMaker Canvas via AWS Management Console etSDK. La politique fournit également un accès restreint aux services connexes [par exemple, Amazon Simple Storage Service (Amazon S3), () AWS Identity and Access Management , Amazon Virtual Private Cloud IAM (Amazon), Amazon Elastic Container Registry (Amazon), Amazon Logs, ECR CloudWatch Amazon Redshift, Amazon SageMaker Autopilot AWS Secrets Manager, Model Registry et SageMaker Amazon Forecast]. VPC
Cette politique vise à aider les clients à expérimenter et à démarrer avec toutes les fonctionnalités de SageMaker Canvas. Pour un contrôle plus précis, nous suggérons aux clients de créer leurs propres versions délimitées lorsqu'ils passent aux charges de travail de production. Pour plus d'informations, consultez IAMla section Types de politiques : comment et quand les utiliser
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker— Permet aux principaux de créer et d'héberger SageMaker des modèles sur des ressources ARN contenant « Canvas », « canvas » ou « model-compilation- ». En outre, les utilisateurs peuvent enregistrer leur modèle SageMaker Canvas dans le SageMaker Model Registry sur le même AWS compte. Permet également aux directeurs de créer et de gérer des tâches de SageMaker formation, de transformation et d'AutoML. -
application-autoscaling— Permet aux principaux de redimensionner automatiquement un point de terminaison d' SageMaker inférence. -
athena— Permet aux principaux d'interroger une liste de catalogues de données, de bases de données et de métadonnées de tables à partir d'Amazon Athena, et d'accéder aux tables des catalogues. -
cloudwatch— Permet aux directeurs de créer et de gérer les CloudWatch alarmes Amazon. -
ec2— Permet aux principaux de créer des points de VPC terminaison Amazon. -
ecr: autorise les principaux à obtenir des informations sur une image de conteneur. -
emr-serverless— Permet aux principaux de créer et de gérer des applications et des exécutions de tâches Amazon EMR Serverless. Permet également aux principaux de baliser les ressources SageMaker Canvas. -
forecast: autorise les principaux à utiliser Amazon Forecast. -
glue— Permet aux principaux de récupérer les tables, les bases de données et les partitions du AWS Glue catalogue. -
iam— Permet aux principaux de transmettre un IAM rôle à Amazon SageMaker, Amazon Forecast et Amazon EMR Serverless. Permet également aux principaux de créer un rôle lié à un service. -
kms— Permet aux principaux de lire une AWS KMS clé étiquetée avecSource:SageMakerCanvas. -
logs: autorise les principaux à publier des journaux à partir des tâches d'entraînement et des points de terminaison. -
quicksight— Permet aux principaux de répertorier les espaces de noms du compte Amazon QuickSight . -
rds— Permet aux principaux de renvoyer des informations sur les instances Amazon RDS provisionnées. -
redshift: permet aux principaux d'obtenir les informations d'identification d'un utilisateur dbuser « sagemaker_access* » sur n'importe quel cluster Amazon Redshift si cet utilisateur existe. -
redshift-data— Permet aux principaux d'exécuter des requêtes sur Amazon Redshift à l'aide des données Amazon Redshift. API Cela donne uniquement accès aux données Redshift APIs elles-mêmes et ne donne pas directement accès à vos clusters Amazon Redshift. Pour plus d'informations, consultez la section Utilisation des données Amazon Redshift. API -
s3: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut SageMaker « », « Sagemaker » ou « Sagemaker ». Permet également aux principaux de récupérer des objets dans des compartiments Amazon S3 dont le nom ARN commence par « jumpstart-cache-prod - » dans des régions spécifiques. -
secretsmanager: autorise les principaux à stocker les informations d'identification des clients pour se connecter à une base de données Snowflake à l'aide de Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à la fonctionnalité de préparation des données d'Amazon SageMaker Canvas. La politique prévoit également des autorisations de moindre privilège pour les services intégrés à la fonctionnalité de préparation des données [par exemple, Amazon Simple Storage Service (Amazon S3) AWS Identity and Access Management , IAM (), Amazon, AmazonEMR, EventBridge Amazon Redshift AWS Key Management Service ,AWS KMS() et]. AWS Secrets Manager
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker— Permet aux principaux d'accéder aux tâches de traitement, aux tâches de formation, aux pipelines d'inférence, aux tâches AutoML et aux groupes de fonctionnalités. -
athena— Permet aux principaux d'interroger une liste de catalogues de données, de bases de données et de métadonnées de tables à partir d'Amazon Athena. -
elasticmapreduce— Permet aux principaux de lire et de répertorier les EMR clusters Amazon. -
emr-serverless— Permet aux principaux de créer et de gérer des applications et des exécutions de tâches Amazon EMR Serverless. Permet également aux principaux de baliser les ressources SageMaker Canvas. -
events— Permet aux directeurs de créer, de lire, de mettre à jour et d'ajouter des cibles aux EventBridge règles Amazon pour les tâches planifiées. -
glue— Permet aux principaux d'obtenir et de rechercher des tables dans les bases de données du AWS Glue catalogue. -
iam— Permet aux principaux de transmettre un IAM rôle à Amazon SageMaker et à Amazon EMR Serverless. EventBridge Permet également aux principaux de créer un rôle lié à un service. -
kms— Permet aux principaux de récupérer les AWS KMS alias stockés dans les tâches et les points de terminaison, et d'accéder à la clé associée. KMS -
logs: autorise les principaux à publier des journaux à partir des tâches d'entraînement et des points de terminaison. -
redshift— Permet aux directeurs d'obtenir des informations d'identification pour accéder à une base de données Amazon Redshift. -
redshift-data— Permet aux principaux d'exécuter, d'annuler, de décrire, de répertorier et d'obtenir les résultats des requêtes Amazon Redshift. Permet également aux principaux de répertorier les schémas et les tables Amazon Redshift. -
s3: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « », SageMaker « Sagemaker » ou « Sagemaker » ; ou ceux marqués d'un « », sans distinction SageMaker majuscules/minuscules. -
secretsmanager— Permet aux principaux de stocker et de récupérer les informations d'identification de la base de données clients à l'aide de Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
Cette politique accorde les autorisations nécessaires à Amazon SageMaker Canvas pour créer et gérer des SageMaker points de terminaison Amazon.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker— Permet aux principaux de créer et de gérer des SageMaker points de terminaison dont le nom de ARN ressource commence par « Canvas » ou « Canvas ». -
cloudwatch— Permet aux principaux de récupérer les données CloudWatch métriques d'Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS politique gérée : AmazonSageMakerCanvas AIServicesAccess
Cette politique autorise Amazon SageMaker Canvas à utiliser Amazon Textract, Amazon Rekognition, Amazon Comprehend et Amazon Bedrock.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
textract: permet aux principaux d'utiliser Amazon Textract pour détecter des documents, des dépenses et des identités dans une image. -
rekognition: permet aux principaux d'utiliser Amazon Rekognition pour détecter des étiquettes et du texte dans une image. -
comprehend— Permet aux directeurs d'utiliser Amazon Comprehend pour détecter les sentiments et le langage dominant, ainsi que les entités d'informations nominatives et personnellement identifiables PII () dans un document texte. -
bedrock: permet aux principaux d'utiliser Amazon Bedrock pour répertorier et invoquer des modèles de fondation. -
iam— Permet aux directeurs de transmettre un IAM rôle à Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS politique gérée : AmazonSageMakerCanvasBedrockAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Bedrock.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3— Permet aux principaux d'ajouter et de récupérer des objets depuis des compartiments Amazon S3 dans le répertoire « SageMaker-*/Canvas ».
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS politique gérée : AmazonSageMakerCanvasForecastAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Forecast.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom commence par « sagemaker- ».
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS politique gérée : AmazonSageMakerCanvas EMRServerlessExecutionRolePolicy
Cette politique accorde des autorisations à Amazon EMR Serverless pour les AWS services, tels qu'Amazon S3, utilisés par Amazon SageMaker Canvas pour le traitement de données volumineuses.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « » SageMaker ou « sagemaker » ; ou ceux marqués d'un SageMaker « », sans distinction majuscules/majuscules.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Amazon SageMaker met à jour les politiques gérées par Amazon SageMaker Canvas
Consultez les détails des mises à jour des politiques AWS gérées pour SageMaker Canvas depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modification | Date |
|---|---|---|---|
|
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d'une stratégie existante |
4 |
Ajoutez une ressource à |
16 août 2024 |
|
AmazonSageMakerCanvasFullAccess : mise à jour d'une stratégie existante |
11 |
Ajoutez une ressource à |
15 août 2024 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy : nouvelle politique |
1 |
Politique initiale |
26 juillet 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d'une stratégie existante |
3 |
Ajoutez |
18 juillet 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
10 |
Ajouter Ajoutez Ajoutez les autorisations Ajoutez les autorisations Ajoutez |
9 juillet 2024 |
|
AmazonSageMakerCanvasBedrockAccess : nouvelle politique |
1 |
Politique initiale |
2 février 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
9 |
Ajouter l'autorisation |
24 janvier 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
8 |
Ajoutez |
8 décembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d'une stratégie existante |
2 |
Petite mise à jour pour appliquer les intentions de la politique précédente, version 1 ; aucune autorisation n'a été ajoutée ou supprimée. |
7 décembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccess : mise à jour d'une stratégie existante |
3 |
Ajoutez |
29 novembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Nouvelle politique |
1 |
Politique initiale |
26 octobre 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess : nouvelle politique |
1 |
Politique initiale |
6 octobre 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
7 |
Ajoutez les autorisations |
29 septembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccess : mise à jour d'une stratégie existante |
2 |
Ajoutez les autorisations |
29 septembre 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
6 |
Ajouter l'autorisation |
29 août 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
5 |
Ajoutez les autorisations |
24 juillet 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
4 |
Ajoutez les autorisations |
4 mai 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
3 |
Ajoutez les autorisations |
24 mars 2023 |
|
AmazonSageMakerCanvasAIServicesAccess- Nouvelle politique |
1 |
Politique initiale |
23 mars 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
2 |
Ajouter l'autorisation |
6 décembre 2022 |
AmazonSageMakerCanvasFullAccess - Nouvelle politique |
1 |
Politique initiale |
8 septembre 2022 |
|
AmazonSageMakerCanvasForecastAccess : nouvelle politique |
1 |
Politique initiale |
24 août 2022 |
