Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonction est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.
Important
Nous vous recommandons d'utiliser la politique la plus restreinte qui vous permet d'effectuer votre cas d'utilisation.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à Amazon SageMaker AI :
-
AmazonSageMakerFullAccess— Accorde un accès complet à Amazon SageMaker AI et aux ressources géospatiales de l' SageMaker IA ainsi qu'aux opérations prises en charge. Cela ne fournit pas un accès illimité à Amazon S3, mais prend en charge les compartimentset les objets avec des balisessagemakerspécifiques. Cette politique permet de transmettre tous les rôles IAM à Amazon SageMaker AI, mais uniquement les rôles IAM contenant le AmazonSageMaker caractère « » à être transmis aux services AWS Glue AWS Step Functions, et AWS RoboMaker . -
AmazonSageMakerReadOnly— Accorde un accès en lecture seule aux ressources Amazon SageMaker AI.
Les politiques AWS gérées suivantes peuvent être associées aux utilisateurs de votre compte, mais elles ne sont pas recommandées :
-
AdministratorAccess: accorde toutes les actions pour l'ensemble des services AWS et des ressources du compte. -
DataScientist: accorde une large gamme d'autorisations pour couvrir la plupart des cas d'utilisation (principalement à des fins d'analytique et de business intelligence (BI)) rencontrés par les scientifiques des données.
Vous pouvez consulter ces politiques d'autorisations en vous connectant à la console IAM et en les recherchant.
Vous pouvez également créer vos propres politiques IAM personnalisées pour autoriser les actions et les ressources Amazon SageMaker AI selon vos besoins. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui les nécessitent.
Rubriques
AWS politique gérée : AmazonSageMakerFullAccess
Cette politique accorde des autorisations administratives qui permettent un accès complet à toutes les ressources et opérations géospatiales d'Amazon SageMaker SageMaker AI et d'AI. La politique fournit également un accès sélectif aux services connexes. Cette politique permet de transmettre tous les rôles IAM à Amazon SageMaker AI, mais uniquement les rôles IAM contenant le AmazonSageMaker caractère « » à être transmis aux services AWS Glue AWS Step Functions, et AWS RoboMaker . Cette politique n'inclut pas les autorisations permettant de créer un domaine Amazon SageMaker AI. Pour plus d'informations sur la politique nécessaire à la création d'un domaine, consultez Compléter les prérequis SageMaker relatifs à Amazon AI.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
application-autoscaling— Permet aux principaux de dimensionner automatiquement un point de terminaison d'inférence en temps réel basé sur l' SageMaker IA. -
athena— Permet aux principaux d'interroger une liste de catalogues de données, de bases de données et de métadonnées de tables à partir de celles-ci. Amazon Athena -
aws-marketplace— Permet aux clients principaux de consulter les abonnements à AWS AI Marketplace. Vous en avez besoin si vous souhaitez accéder à un logiciel d' SageMaker IA auquel vous êtes abonné AWS Marketplace. -
cloudformation— Permet aux directeurs d'obtenir des AWS CloudFormation modèles pour utiliser les JumpStart solutions d' SageMaker IA et les pipelines. SageMaker L'IA JumpStart crée les ressources nécessaires pour exécuter des solutions d'apprentissage end-to-end automatique qui relient l' SageMaker IA à d'autres AWS services. SageMaker AI Pipelines crée de nouveaux projets soutenus par Service Catalog. -
cloudwatch— Permet aux directeurs de publier des CloudWatch statistiques, d'interagir avec les alarmes et de télécharger des journaux dans les CloudWatch journaux de votre compte. -
codebuild— Permet aux directeurs de stocker des AWS CodeBuild artefacts pour le pipeline et les projets d' SageMaker IA. -
codecommit— Nécessaire pour AWS CodeCommit l'intégration avec les instances de blocs-notes SageMaker AI. -
cognito-idp— Nécessaire à Amazon SageMaker Ground Truth pour définir la main-d'œuvre privée et les équipes de travail. -
ec2— Nécessaire à l' SageMaker IA pour gérer les EC2 ressources Amazon et les interfaces réseau lorsque vous spécifiez un Amazon VPC pour vos tâches, modèles, points de terminaison et instances de bloc-notes d' SageMaker IA. -
ecr— Nécessaire pour extraire et stocker des artefacts Docker pour Amazon SageMaker Studio Classic (images personnalisées), la formation, le traitement, l'inférence par lots et les points de terminaison d'inférence. Cela est également nécessaire pour utiliser votre propre conteneur dans SageMaker AI. Des autorisations supplémentaires pour les JumpStart solutions d' SageMaker intelligence artificielle sont nécessaires pour créer et supprimer des images personnalisées au nom des utilisateurs. -
elasticfilesystem– Permet aux mandataires d'accéder à Amazon Elastic File System. Cela est nécessaire pour que l' SageMaker IA puisse utiliser les sources de données d'Amazon Elastic File System pour entraîner des modèles de machine learning. -
fsx— Permet aux directeurs d'accéder à Amazon FSx. Cela est nécessaire pour que l' SageMaker IA puisse utiliser les sources de données d'Amazon FSx pour entraîner des modèles d'apprentissage automatique. -
glue— Nécessaire pour le prétraitement du pipeline d'inférence à partir d'instances de blocs-notes SageMaker AI. -
groundtruthlabeling– Nécessaire pour les tâches d'étiquetage Ground Truth. Le point de terminaisongroundtruthlabelingest accessible par la console Ground Truth. -
iam— Nécessaire pour permettre à la console SageMaker AI d'accéder aux rôles IAM disponibles et créer des rôles liés aux services. -
kms— Nécessaire pour donner à la console SageMaker AI accès aux AWS KMS clés disponibles et les récupérer pour tous les AWS KMS alias spécifiés dans les tâches et les points de terminaison. -
lambda– Permet aux mandataires d'appeler et d'obtenir une liste de fonctions AWS Lambda . -
logs— Nécessaire pour permettre aux tâches et aux terminaux d' SageMaker IA de publier des flux de journaux. -
redshift– Permet aux mandataires d'accéder aux informations d'identification du cluster Amazon Redshift. -
redshift-data– Permet aux mandataires d'utiliser les données d'Amazon Redshift pour exécuter, décrire et annuler des instructions, obtenir les résultats d'instructions et répertorier les schémas et les tables. -
robomaker— Permet aux principaux d'avoir un accès complet pour créer, obtenir des descriptions et supprimer des applications et des tâches de AWS RoboMaker simulation. Ceci est également nécessaire pour exécuter des exemples d'apprentissage par renforcement sur des instances de bloc-notes. -
s3, s3express— Permet aux principaux d'avoir un accès complet aux ressources Amazon S3 et Amazon S3 Express relatives à l' SageMaker IA, mais pas à la totalité d'Amazon S3 ou Amazon S3 Express. -
sagemaker— Permet aux principaux de répertorier les balises sur les profils utilisateurs de l' SageMaker IA et d'ajouter des balises aux applications et aux espaces d' SageMaker IA. Permet d'accéder uniquement aux définitions des flux d' SageMaker IA de Sagemaker : WorkteamType « private-crowd » ou « vendor-crowd ». Permet l'utilisation et la description des plans de formation liés à l' SageMaker IA et des capacités réservées dans les postes de SageMaker formation et les SageMaker HyperPod clusters, dans toutes les AWS régions où la fonctionnalité des plans de formation est accessible. -
sagemakeretsagemaker-geospatial— Permet aux principaux d'accéder en lecture seule aux domaines SageMaker AI et aux profils d'utilisateurs. -
secretsmanager– Permet aux mandataires d'avoir un accès complet à AWS Secrets Manager. Les mandataires peuvent chiffrer, stocker et récupérer en toute sécurité des informations d'identification pour les bases de données et d'autres services. Cela est également nécessaire pour les instances de blocs-notes SageMaker SageMaker AI avec des référentiels de code AI qui les utilisent GitHub. -
servicecatalog– Permet aux principaux d'utiliser Service Catalog. Les principaux peuvent créer, obtenir une liste, mettre à jour ou résilier des produits provisionnés, tels que des serveurs, des bases de données, des sites Web ou des applications déployées à l'aide AWS de ressources. Cela est nécessaire pour que l' SageMaker IA JumpStart et les projets puissent trouver et lire les produits du catalogue de services et lancer AWS des ressources auprès des utilisateurs. -
sns: permet aux mandataires d'obtenir une liste de rubriques Amazon SNS. Nécessaire pour les points de terminaison dont l'inférence asynchrone est activée pour informer les utilisateurs que leur inférence est terminée. -
states— Nécessaire à SageMaker l'IA JumpStart et aux pipelines pour utiliser un catalogue de services pour créer des ressources de fonctions par étapes. -
tag— Nécessaire au rendu de SageMaker AI Pipelines dans Studio Classic. Studio Classic a besoin de ressources étiquetées avec une clé desagemaker:project-idbalise particulière. Cela nécessite l'autorisationtag:GetResources.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elastic-inference:Connect",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}AWS politique gérée : AmazonSageMakerReadOnly
Cette politique accorde un accès en lecture seule à Amazon SageMaker AI via le SDK AWS Management Console and.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
application-autoscaling— Permet aux utilisateurs de parcourir les descriptions des points de terminaison d'inférence en temps réel évolutifs de l' SageMaker IA. -
aws-marketplace— Permet aux utilisateurs de consulter les abonnements à AWS AI Marketplace. -
cloudwatch— Permet aux utilisateurs de recevoir des CloudWatch alarmes. -
cognito-idp— Nécessaire à Amazon SageMaker Ground Truth pour parcourir les descriptions et les listes des employés du secteur privé et des équipes de travail. -
ecr: nécessaire pour lire les artefacts Docker d'entraînement et d'inférence.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}SageMaker Mises à jour des politiques AWS gérées par l'IA
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour l' SageMaker IA depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modification | Date |
|---|---|---|---|
AmazonSageMakerFullAccess : mise à jour d'une stratégie existante |
27 |
|
4 décembre 2024 |
AmazonSageMakerFullAccess : mise à jour d'une stratégie existante |
26 |
Ajouter l'autorisation |
29 mars 2024 |
AmazonSageMakerFullAccess - Mise à jour d'une politique existante |
25 |
Ajoutez |
30 novembre 2023 |
AmazonSageMakerFullAccess - Mise à jour d'une politique existante |
24 |
Ajoutez les autorisations |
30 novembre 2022 |
AmazonSageMakerFullAccess - Mise à jour d'une politique existante |
23 |
Addition |
29 juin 2022 |
AmazonSageMakerFullAccess - Mise à jour d'une politique existante |
22 |
Addition |
1er mai 2022 |
AmazonSageMakerReadOnly : mise à jour d'une stratégie existante |
11 |
Ajoutez des autorisations |
1er décembre 2021 |
AmazonSageMakerFullAccess - Mise à jour d'une politique existante |
21 |
Ajout des autorisations |
8 septembre 2021 |
AmazonSageMakerFullAccess - Mise à jour d'une politique existante |
20 |
Mettez à jour les ressources et les autorisations |
15 juillet 2021 |
AmazonSageMakerReadOnly - Mise à jour d'une politique existante |
10 |
Nouvelle API |
10 juin 2021 |
|
SageMaker AI a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
1er juin 2021 |
