AWS Politiques gérées pour les SageMaker pipelines - Amazon SageMaker AI
AmazonSageMakerPipelinesIntegrationsSageMaker Mises à jour de la politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Politiques gérées pour les SageMaker pipelines

Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker pipelines. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.

AWS politique gérée : AmazonSageMakerPipelinesIntegrations

Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser les étapes de rappel et les étapes Lambda dans les SageMaker pipelines. La politique est ajoutée à AmazonSageMaker-ExecutionRole celle créée lors de l'intégration à Amazon SageMaker Studio Classic. La politique peut être attachée à n'importe quel rôle utilisé pour la création ou l'exécution d'un pipeline.

Cette politique accorde les autorisations AWS Lambda, Amazon Simple Queue Service (AmazonSQS) et Amazon appropriées EventBridge, ainsi que les IAM autorisations nécessaires lors de la création de pipelines qui invoquent des fonctions Lambda ou incluent des étapes de rappel, qui peuvent être utilisées pour des étapes d'approbation manuelle ou pour exécuter des charges de travail personnalisées.

Les SQS autorisations Amazon vous permettent de créer la SQS file d'attente Amazon nécessaire pour recevoir des messages de rappel, et également pour envoyer des messages à cette file d'attente.

Les autorisations Lambda vous permettent de créer, de lire, de mettre à jour et de supprimer les fonctions Lambda utilisées dans les étapes du pipeline, ainsi que d'appeler ces fonctions Lambda.

Cette politique accorde à Amazon les EMR autorisations nécessaires pour exécuter une EMR étape Amazon d'un pipeline.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • elasticmapreduce— Lisez, ajoutez et annulez des étapes dans un EMR cluster Amazon en cours d'exécution. Lisez, créez et mettez fin à un nouveau EMR cluster Amazon.

  • events— Lisez, créez, mettez à jour et ajoutez des cibles à une EventBridge règle nommée SageMakerPipelineExecutionEMRStepStatusUpdateRule etSageMakerPipelineExecutionEMRClusterStatusUpdateRule.

  • iam— Transmettez un IAM rôle au service AWS Lambda, Amazon et EMR Amazon. EC2

  • lambda – Créer, lire, mettre à jour, supprimer et appeler des fonctions Lambda. Ces autorisations sont limitées aux fonctions dont le nom inclut « sagemaker ».

  • sqs— Créez une SQS file d'attente Amazon ; envoyez un SQS message Amazon. Ces autorisations sont limitées aux files d'attente dont le nom inclut « sagemaker ».

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:GetFunction",
                "lambda:InvokeFunction",
                "lambda:UpdateFunctionCode"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*sagemaker*",
                "arn:aws:lambda:*:*:function:*sageMaker*",
                "arn:aws:lambda:*:*:function:*SageMaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:SendMessage"
            ],
            "Resource": [
                "arn:aws:sqs:*:*:*sagemaker*",
                "arn:aws:sqs:*:*:*sageMaker*",
                "arn:aws:sqs:*:*:*SageMaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "lambda.amazonaws.com",
                        "elasticmapreduce.amazonaws.com",
                        "ec2.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:PutRule",
                "events:PutTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
                "arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:AddJobFlowSteps",
                "elasticmapreduce:CancelSteps",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:RunJobFlow",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:TerminateJobFlows",
                "elasticmapreduce:ListSteps"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:*:*:cluster/*"
            ]
        }
    ]
}

Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Pipelines

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.

Politique Version Modification Date

AmazonSageMakerPipelinesIntegrations : mise à jour d'une stratégie existante

3

Autorisations ajoutées pour elasticmapreduce:RunJobFlows, elasticmapreduce:TerminateJobFlows, elasticmapreduce:ListSteps et elasticmapreduce:DescribeCluster.

17 février 2023

AmazonSageMakerPipelinesIntegrations : mise à jour d'une stratégie existante

2

Autorisations ajoutées pour lambda:GetFunction, events:DescribeRule, events:PutRule, events:PutTargets, elasticmapreduce:AddJobFlowSteps, elasticmapreduce:CancelSteps et elasticmapreduce:DescribeStep.

 20 avril 2022

AmazonSageMakerPipelinesIntegrations - Nouvelle politique

1

Politique initiale

 30 juillet 2021