AWS Politiques gérées pour les SageMaker ordinateurs portables - Amazon SageMaker AI
AmazonSageMakerNotebooksServiceRolePolicySageMaker Mises à jour des politiques relatives aux ordinateurs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Politiques gérées pour les SageMaker ordinateurs portables

Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker blocs-notes. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.

AWS politique gérée : AmazonSageMakerNotebooksServiceRolePolicy

Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Notebooks. La politique est ajoutée à AWSServiceRoleForAmazonSageMakerNotebooks celle créée lors de l'intégration à Amazon SageMaker Studio Classic. Pour plus d'informations sur les rôles liés à un service, consultez Rôles liés à un service. Pour plus d’informations, consultez AmazonSageMakerNotebooksServiceRolePolicy.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • elasticfilesystem – Permet aux principaux de créer et de supprimer des systèmes de fichiers Amazon Elastic File System (EFS), des points d'accès et des cibles de montage. Ils sont limités à ceux marqués avec la clé ManagedByAmazonSageMakerResource. Permet aux principaux de décrire tous les systèmes de fichiers EFS, les points d'accès et les cibles de montage. Permet aux principaux de créer ou de remplacer des balises pour les points d'accès EFS et les cibles de montage.

  • ec2— Permet aux principaux de créer des interfaces réseau et des groupes de sécurité pour les instances Amazon Elastic Compute Cloud (EC2). Permet également aux principaux de créer et de remplacer des balises pour ces ressources.

  • sso – Permet aux principaux d'ajouter et de supprimer des instances d'applications gérées dans AWS IAM Identity Center.

  • sagemaker— Permet aux directeurs de créer et de lire SageMaker des profils d'utilisateurs et des espaces d' SageMaker IA, de supprimer des espaces d' SageMaker IA et des applications d' SageMaker IA, et d'ajouter et de répertorier des balises.

  • fsx— Permet aux responsables de décrire le système de fichiers Amazon FSx for Lustre et d'utiliser les métadonnées pour le monter sur un bloc-notes.

{
    "Version": "2012-10-17",
    "Statement": [
        {   
            "Sid": "AllowFSxDescribe",
            "Effect": "Allow",
            "Action": [
                "fsx:DescribeFileSystems",
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker AI met à jour les SageMaker politiques gérées par AI Notebooks

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.

Politique Version Modification Date

AmazonSageMakerNotebooksServiceRolePolicy : mise à jour d'une stratégie existante

10

Ajouter l'autorisation fsx:DescribeFileSystems.

 14 novembre 2024

AmazonSageMakerNotebooksServiceRolePolicy : mise à jour d'une stratégie existante

9

Ajouter l'autorisation sagemaker:DeleteApp.

 24 juillet 2024

AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante

8

Ajoutez les autorisations sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTags et sagemaker:AddTags.

 22 mai 2024

AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante

7

Ajouter l'autorisation elasticfilesystem:TagResource.

 9 mars 2023

AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante

6

Ajoutez les autorisations elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPoint et elasticfilesystem:DescribeAccessPoints.

 12 janvier 2023

SageMaker AI a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 1er juin 2021