AWS Politiques gérées pour les SageMaker ordinateurs portables - Amazon SageMaker
AmazonSageMakerNotebooksServiceRolePolitiqueSageMaker Mises à jour des politiques relatives aux ordinateurs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Politiques gérées pour les SageMaker ordinateurs portables

Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker blocs-notes. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés depuis la SageMaker console.

AWS politique gérée : AmazonSageMakerNotebooksServiceRolePolicy

Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Notebooks. La politique est ajoutée à AmazonSageMaker-ExecutionRole celle créée lors de l'intégration à Amazon SageMaker Studio Classic. Pour plus d'informations sur les rôles liés à un service, consultez Rôles liés à un service.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • elasticfilesystem – Permet aux principaux de créer et de supprimer des systèmes de fichiers Amazon Elastic File System (EFS), des points d'accès et des cibles de montage. Ils sont limités à ceux marqués avec la clé ManagedByAmazonSageMakerResource. Permet aux principaux de décrire tous les systèmes de fichiers EFS, les points d'accès et les cibles de montage. Permet aux principaux de créer ou de remplacer des balises pour les points d'accès EFS et les cibles de montage.

  • ec2 – Permet aux principaux de créer des interfaces réseau et des groupes de sécurité pour les instances Amazon Elastic Compute Cloud (EC2). Permet également aux principaux de créer et de remplacer des balises pour ces ressources.

  • sso – Permet aux principaux d'ajouter et de supprimer des instances d'applications gérées dans AWS IAM Identity Center.

  • sagemaker— Permet aux directeurs de créer et de lire des profils SageMaker d'utilisateurs. Permet également aux directeurs de créer, de lire et de supprimer des SageMaker espaces. Permet aux principaux d'ajouter et de répertorier des balises.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker met à jour ses politiques de gestion SageMaker des ordinateurs portables

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker depuis que ce service a commencé à suivre ces modifications.

Politique Version Modification Date

AmazonSageMakerNotebooksServiceRolePolitique : mise à jour d'une stratégie existante

8

Ajoutez les autorisations sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTags et sagemaker:AddTags.

 22 mai 2024

AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante

7

Ajouter l'autorisation elasticfilesystem:TagResource.

 9 mars 2023

AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante

6

Ajoutez les autorisations elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPoint et elasticfilesystem:DescribeAccessPoints.

 12 janvier 2023

SageMaker a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 1er juin 2021