Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon SageMaker Canvas
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Amazon SageMaker Canvas. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés depuis la SageMaker console.
Rubriques
- AWS politique gérée : AmazonSageMakerCanvasFullAccess
- AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
- AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
- AWS politique gérée : AmazonSageMakerCanvas IA ServicesAccess
- AWS politique gérée : AmazonSageMakerCanvasBedrockAccess
- AWS politique gérée : AmazonSageMakerCanvasForecastAccess
- Amazon SageMaker met à jour les politiques gérées par Amazon SageMaker Canvas
AWS politique gérée : AmazonSageMakerCanvasFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à Amazon SageMaker Canvas via le SDK AWS Management Console and. La politique fournit également un accès restreint aux services connexes [par exemple, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry, Amazon [ AWS Secrets Manager Amazon Forecast SageMaker ]. SageMaker
Cette politique vise à aider les clients à expérimenter et à démarrer avec toutes les fonctionnalités de SageMaker Canvas. Pour un contrôle plus précis, nous suggérons aux clients de créer leurs propres versions délimitées lorsqu'ils passent aux charges de travail de production. Pour plus d'informations, consultez Types de politiques IAM : comment et quand les utiliser
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker— Permet aux principaux de créer et d'héberger SageMaker des modèles sur des ressources dont l'ARN contient « Canvas », « canvas » ou « model-compilation- ». En outre, les utilisateurs peuvent enregistrer leur modèle SageMaker Canvas dans le SageMaker Model Registry sur le même AWS compte. -
ec2: autorise les principaux à créer des points de terminaison Amazon VPC. -
ecr: autorise les principaux à obtenir des informations sur une image de conteneur. -
glue: permet aux principaux de récupérer les tables du catalogue. -
iam— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker et Amazon Forecast. Permet également aux principaux de créer un rôle lié à un service. -
logs: autorise les principaux à publier des journaux à partir des tâches d'entraînement et des points de terminaison. -
s3: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut SageMaker « », « Sagemaker » ou « Sagemaker ». Permet également aux principaux de récupérer des objets depuis des compartiments Amazon S3 dont l'ARN commence par « jumpstart-cache-prod- » dans des régions spécifiques. -
secretsmanager: autorise les principaux à stocker les informations d'identification des clients pour se connecter à une base de données Snowflake à l'aide de Secrets Manager. -
redshift: permet aux principaux d'obtenir les informations d'identification d'un utilisateur dbuser « sagemaker_access* » sur n'importe quel cluster Amazon Redshift si cet utilisateur existe. -
redshift-data: permet aux principaux d'exécuter des requêtes sur Amazon Redshift à l'aide de l'API de données Amazon Redshift. Cela donne uniquement accès aux API de données Redshift elles-mêmes et ne donne pas directement accès à vos clusters Amazon Redshift. Pour plus d'informations, consultez la section Utilisation de l'API de données Amazon Redshift. -
forecast: autorise les principaux à utiliser Amazon Forecast. -
application-autoscaling— Permet aux principaux de redimensionner automatiquement un point de terminaison d' SageMaker inférence. -
rds: permet aux principaux de renvoyer des informations sur les instances Amazon RDS provisionnées. -
cloudwatch— Permet aux directeurs de créer et de gérer les CloudWatch alarmes Amazon. -
athena— Permet aux principaux de créer, de lire et de gérer les requêtes, les catalogues et les exécutions Amazon Athena.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } ] }
AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à la fonctionnalité de préparation des données d'Amazon SageMaker Canvas. La politique prévoit également des autorisations de moindre privilège pour les services intégrés à la fonctionnalité de préparation des données [par exemple, Amazon Simple Storage Service (Amazon S3) AWS Identity and Access Management , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () et]. AWS Key Management Service AWS KMS AWS Secrets Manager
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker— Permet aux principaux d'accéder aux tâches de traitement, aux tâches de formation, aux pipelines d'inférence, aux tâches AutoML et aux groupes de fonctionnalités. -
athena— Permet aux principaux d'interroger une liste de catalogues de données, de bases de données et de métadonnées de tables à partir d'Amazon Athena. -
elasticmapreduce— Permet aux principaux de lire et de répertorier les clusters Amazon EMR. -
events— Permet aux directeurs de créer, de lire, de mettre à jour et d'ajouter des cibles aux EventBridge règles Amazon pour les tâches planifiées. -
glue— Permet aux principaux d'obtenir et de rechercher des tables dans les bases de données du AWS Glue catalogue. -
iam— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker et. EventBridge -
kms— Permet aux principaux de récupérer les AWS KMS alias stockés dans les tâches et les points de terminaison, et d'accéder à la clé KMS associée. -
logs: autorise les principaux à publier des journaux à partir des tâches d'entraînement et des points de terminaison. -
redshift— Permet aux directeurs d'obtenir des informations d'identification pour accéder à une base de données Amazon Redshift. -
redshift-data— Permet aux principaux d'exécuter, d'annuler, de décrire, de répertorier et d'obtenir les résultats des requêtes Amazon Redshift. Permet également aux principaux de répertorier les schémas et les tables Amazon Redshift. -
s3: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « », SageMaker « Sagemaker » ou « Sagemaker » ; ou ceux marqués d'un « », sans distinction SageMaker majuscules/minuscules. -
secretsmanager— Permet aux principaux de stocker et de récupérer les informations d'identification de la base de données clients à l'aide de Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" } ] }
AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
Cette politique accorde les autorisations nécessaires à Amazon SageMaker Canvas pour créer et gérer des SageMaker points de terminaison Amazon.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker— Permet aux principaux de créer et de gérer des SageMaker points de terminaison avec un nom de ressource ARN commençant par « Canvas » ou « Canvas ». -
cloudwatch— Permet aux principaux de récupérer les données CloudWatch métriques d'Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS politique gérée : AmazonSageMakerCanvas IA ServicesAccess
Cette politique autorise Amazon SageMaker Canvas à utiliser Amazon Textract, Amazon Rekognition, Amazon Comprehend et Amazon Bedrock.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
textract: permet aux principaux d'utiliser Amazon Textract pour détecter des documents, des dépenses et des identités dans une image. -
rekognition: permet aux principaux d'utiliser Amazon Rekognition pour détecter des étiquettes et du texte dans une image. -
comprehend: permet aux principaux d'utiliser Amazon Comprehend pour détecter les sentiments et la langue dominante, ainsi que les entités nommées et de données d'identification personnelle (PII) dans un document texte. -
bedrock: permet aux principaux d'utiliser Amazon Bedrock pour répertorier et invoquer des modèles de fondation. -
iam— Permet aux directeurs de transmettre un rôle IAM à Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS politique gérée : AmazonSageMakerCanvasBedrockAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Bedrock.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3— Permet aux principaux d'ajouter et de récupérer des objets depuis des compartiments Amazon S3 dans le répertoire « SageMaker-*/Canvas ».
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS politique gérée : AmazonSageMakerCanvasForecastAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Forecast.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom commence par « sagemaker- ».
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
Amazon SageMaker met à jour les politiques gérées par Amazon SageMaker Canvas
Consultez les détails des mises à jour des politiques AWS gérées pour SageMaker Canvas depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modification | Date |
|---|---|---|---|
|
AmazonSageMakerCanvasBedrockAccess : nouvelle politique |
1 |
Politique initiale |
2 février 2024 |
|
AmazonSageMakerCanvasFullAccess : mise à jour d'une stratégie existante |
9 |
Ajouter l'autorisation |
24 janvier 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
8 |
Ajoutez |
8 décembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d'une stratégie existante |
2 |
Petite mise à jour pour appliquer les intentions de la politique précédente, version 1 ; aucune autorisation n'a été ajoutée ou supprimée. |
7 décembre 2023 |
|
AmazonSageMakerCanvasIA ServicesAccess : mise à jour d'une stratégie existante |
3 |
Ajoutez |
29 novembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Nouvelle politique |
1 |
Politique initiale |
26 octobre 2023 |
|
AmazonSageMakerCanvasDirectDeployAccès : nouvelle politique |
1 |
Politique initiale |
6 octobre 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
7 |
Ajoutez les autorisations |
29 septembre 2023 |
|
AmazonSageMakerCanvasAI ServicesAccess - Mise à jour d'une politique existante |
2 |
Ajoutez les autorisations |
29 septembre 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
6 |
Ajouter l'autorisation |
29 août 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
5 |
Ajoutez les autorisations |
24 juillet 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
4 |
Ajoutez les autorisations |
4 mai 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
3 |
Ajoutez les autorisations |
24 mars 2023 |
|
AmazonSageMakerCanvasIA ServicesAccess - Nouvelle politique |
1 |
Politique initiale |
23 mars 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
2 |
Ajouter l'autorisation |
6 décembre 2022 |
AmazonSageMakerCanvasFullAccess - Nouvelle politique |
1 |
Politique initiale |
8 septembre 2022 |
|
AmazonSageMakerCanvasForecastAccess : nouvelle politique |
1 |
Politique initiale |
24 août 2022 |
