Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Politiques gérées pour le registre des modèles
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Model Registry. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés depuis la SageMaker console Amazon.
Rubriques
AWS politique gérée : AmazonSageMakerModelRegistryFullAccess
Cette politique AWS gérée accorde les autorisations nécessaires pour utiliser toutes les fonctionnalités du Model Registry au sein d'un SageMaker domaine Amazon. Cette politique est attachée à un rôle d'exécution lors de la configuration des paramètres du registre des modèles pour activer les autorisations du registre des modèles.
Cette politique inclut les autorisations suivantes.
ecr
— Permet aux principaux de récupérer des informations, y compris des métadonnées, sur les images Amazon Elastic Container Registry (AmazonECR).iam
— Permet aux principaux de transmettre le rôle d'exécution au SageMaker service Amazon.resource-groups
— Permet aux principaux de créer, de répertorier, de baliser et de supprimer AWS Resource Groups.s3
: permet aux principaux de récupérer des objets depuis les compartiments Amazon Simple Storage Service (Amazon S3) dans lesquels les versions des modèles sont stockées. Les objets récupérables sont limités à ceux dont le nom insensible à la casse contient la chaîne"sagemaker"
.sagemaker
— Permet aux principaux de cataloguer, de gérer et de déployer des modèles à l'aide du registre des SageMaker modèles.kms
— Permet uniquement au principal du SageMaker service d'ajouter une autorisation, de générer des clés de données, de déchiffrer et de lire des AWS KMS clés, et uniquement des clés étiquetées pour une utilisation « sagemaker ».
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission", "Effect": "Allow", "Action": [ "sagemaker:DescribeAction", "sagemaker:DescribeInferenceRecommendationsJob", "sagemaker:DescribeModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribePipeline", "sagemaker:DescribePipelineExecution", "sagemaker:ListAssociations", "sagemaker:ListArtifacts", "sagemaker:ListModelMetadata", "sagemaker:ListModelPackages", "sagemaker:Search", "sagemaker:GetSearchSuggestions" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission", "Effect": "Allow", "Action": [ "sagemaker:AddTags", "sagemaker:CreateModel", "sagemaker:CreateModelPackage", "sagemaker:CreateModelPackageGroup", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateInferenceRecommendationsJob", "sagemaker:DeleteModelPackage", "sagemaker:DeleteModelPackageGroup", "sagemaker:DeleteTags", "sagemaker:UpdateModelPackage" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryS3GetPermission", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AmazonSageMakerModelRegistryS3ListPermission", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryECRReadPermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:DescribeImages" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AmazonSageMakerModelRegistryTagReadPermission", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission", "Effect": "Allow", "Action": [ "resource-groups:GetGroupQuery" ], "Resource": "arn:aws:resource-groups:*:*:group/*" }, { "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission", "Effect": "Allow", "Action": [ "resource-groups:ListGroupResources" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission", "Effect": "Allow", "Action": [ "resource-groups:CreateGroup", "resource-groups:Tag" ], "Resource": "arn:aws:resource-groups:*:*:group/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "sagemaker:collection" } } }, { "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission", "Effect": "Allow", "Action": "resource-groups:DeleteGroup", "Resource": "arn:aws:resource-groups:*:*:group/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:collection": "true" } } }, { "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker" : "true" }, "StringLike": { "kms:ViaService": "sagemaker.*.amazonaws.com" } } } ] }
Amazon SageMaker met à jour les politiques gérées par Model Registry
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour Model Registry depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du SageMaker document.
Politique | Version | Modification | Date |
---|---|---|---|
AmazonSageMakerModelRegistryFullAccess : mise à jour d'une stratégie existante |
2 |
Ajoutez les autorisation |
6 juin 2024 |
AmazonSageMakerModelRegistryFullAccess - Nouvelle politique |
1 |
Politique initiale |
12 avril 2023 |