Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk Amazon SageMaker Canvas
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Amazon SageMaker Canvas. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari SageMaker konsol.
Topik
- AWS kebijakan terkelola: AmazonSageMakerCanvasFullAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvasDataPrepFullAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvasDirectDeployAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvas AIServicesAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvasBedrockAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvasForecastAccess
- AWS kebijakan terkelola: AmazonSageMakerCanvas EMRServerlessExecutionRolePolicy
- SageMaker Pembaruan Amazon ke kebijakan terkelola Amazon SageMaker Canvas
AWS kebijakan terkelola: AmazonSageMakerCanvasFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke Amazon SageMaker Canvas melalui dan. AWS Management Console SDK Kebijakan ini juga menyediakan akses tertentu ke layanan terkait [misalnya, Amazon Simple Storage Service (Amazon S3), () AWS Identity and Access Management , Amazon Virtual Private Cloud IAM (Amazon), Amazon Elastic Container Registry (AmazonVPC), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Registry SageMaker Model AWS Secrets Manager, dan SageMaker Amazon ForecastECR].
Kebijakan ini dimaksudkan untuk membantu pelanggan bereksperimen dan memulai dengan semua kemampuan SageMaker Canvas. Untuk kontrol yang lebih halus, kami menyarankan pelanggan membuat versi cakupan mereka sendiri saat mereka beralih ke beban kerja produksi. Untuk informasi selengkapnya, lihat jenis IAM kebijakan: Bagaimana dan kapan menggunakannya
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
sagemaker— Memungkinkan prinsipal untuk membuat dan SageMaker meng-host model pada sumber daya yang ARN berisi “Kanvas”, “kanvas”, atau “model-kompilasi-”. Selain itu, pengguna dapat mendaftarkan model SageMaker Canvas mereka ke SageMaker Model Registry di AWS akun yang sama. Juga memungkinkan kepala sekolah untuk membuat dan mengelola SageMaker pelatihan, transformasi, dan pekerjaan AutoML. -
application-autoscaling— Memungkinkan prinsipal untuk secara otomatis menskalakan titik akhir inferensi. SageMaker -
athena— Memungkinkan kepala sekolah untuk menanyakan daftar katalog data, database, dan metadata tabel dari Amazon Athena, dan mengakses tabel dalam katalog. -
cloudwatch— Memungkinkan kepala sekolah untuk membuat dan mengelola alarm Amazon. CloudWatch -
ec2— Memungkinkan prinsipal untuk membuat titik akhir Amazon. VPC -
ecr— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang gambar kontainer. -
emr-serverless— Memungkinkan kepala sekolah untuk membuat dan mengelola aplikasi Amazon EMR Tanpa Server dan menjalankan pekerjaan. Juga memungkinkan prinsipal untuk menandai SageMaker sumber daya Canvas. -
forecast— Memungkinkan prinsipal untuk menggunakan Amazon Forecast. -
glue— Memungkinkan prinsipal untuk mengambil tabel, database, dan partisi dalam katalog. AWS Glue -
iam— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon, Amazon SageMaker Forecast, dan Amazon Tanpa Server. EMR Juga memungkinkan kepala sekolah untuk membuat peran terkait layanan. -
kms— Memungkinkan kepala sekolah untuk membaca AWS KMS kunci yang ditandai dengan.Source:SageMakerCanvas -
logs— Memungkinkan kepala sekolah untuk mempublikasikan log dari pekerjaan pelatihan dan titik akhir. -
quicksight— Memungkinkan kepala sekolah untuk membuat daftar ruang nama di akun Amazon. QuickSight -
rds— Memungkinkan kepala sekolah mengembalikan informasi tentang instans Amazon yang disediakan. RDS -
redshift— Memungkinkan prinsipal untuk mendapatkan kredensil untuk dbuser “sagemaker_access*” di klaster Amazon Redshift mana pun jika pengguna itu ada. -
redshift-data— Memungkinkan kepala sekolah menjalankan kueri di Amazon Redshift menggunakan Data Amazon Redshift. API Ini hanya menyediakan akses ke Data Redshift itu APIs sendiri dan tidak secara langsung menyediakan akses ke cluster Amazon Redshift Anda. Untuk informasi selengkapnya, lihat Menggunakan Data Amazon Redshift. API -
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”. Juga memungkinkan prinsipal untuk mengambil objek dari ember Amazon S3 yang ARN dimulai dengan "-” di wilayah tertentu. jumpstart-cache-prod -
secretsmanager— Memungkinkan kepala sekolah untuk menyimpan kredensyal pelanggan untuk terhubung ke database Snowflake menggunakan Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvasDataPrepFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke fungsionalitas persiapan data Amazon SageMaker Canvas. Kebijakan ini juga memberikan izin hak istimewa paling sedikit untuk layanan yang terintegrasi dengan fungsionalitas persiapan data [misalnya, Amazon Simple Storage Service (Amazon S3) Service (Amazon S3), AWS Identity and Access Management (), AmazonIAM, Amazon, EMR EventBridge Amazon Redshift, () dan]. AWS Key Management Service AWS KMS AWS Secrets Manager
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
sagemaker— Memungkinkan kepala sekolah untuk mengakses pekerjaan pemrosesan, pekerjaan pelatihan, saluran inferensi, pekerjaan AutoML, dan grup fitur. -
athena— Memungkinkan kepala sekolah untuk menanyakan daftar katalog data, database, dan metadata tabel dari Amazon Athena. -
elasticmapreduce— Memungkinkan kepala sekolah untuk membaca dan membuat daftar cluster Amazon. EMR -
emr-serverless— Memungkinkan kepala sekolah untuk membuat dan mengelola aplikasi Amazon EMR Tanpa Server dan menjalankan pekerjaan. Juga memungkinkan prinsipal untuk menandai SageMaker sumber daya Canvas. -
events— Memungkinkan kepala sekolah untuk membuat, membaca, memperbarui, dan menambahkan target ke EventBridge aturan Amazon untuk pekerjaan terjadwal. -
glue— Memungkinkan kepala sekolah untuk mendapatkan dan mencari tabel dari database dalam katalog. AWS Glue -
iam— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon SageMaker,, EventBridge dan Amazon Tanpa Server. EMR Juga memungkinkan kepala sekolah untuk membuat peran terkait layanan. -
kms— Memungkinkan prinsipal untuk mengambil AWS KMS alias yang disimpan dalam pekerjaan dan titik akhir, dan mengakses kunci terkait. KMS -
logs— Memungkinkan kepala sekolah untuk mempublikasikan log dari pekerjaan pelatihan dan titik akhir. -
redshift— Memungkinkan kepala sekolah mendapatkan kredensyal untuk mengakses database Amazon Redshift. -
redshift-data— Memungkinkan prinsipal untuk menjalankan, membatalkan, mendeskripsikan, membuat daftar, dan mendapatkan hasil kueri Amazon Redshift. Juga memungkinkan kepala sekolah untuk membuat daftar skema dan tabel Amazon Redshift. -
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”; atau ditandai dengan "“, case-insensitive. SageMaker -
secretsmanager— Memungkinkan kepala sekolah untuk menyimpan dan mengambil kredensyal basis data pelanggan menggunakan Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvasDirectDeployAccess
Kebijakan ini memberikan izin yang diperlukan Amazon SageMaker Canvas untuk membuat dan mengelola titik akhir Amazon SageMaker.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
sagemaker— Memungkinkan prinsipal untuk membuat dan mengelola SageMaker titik akhir dengan nama ARN sumber daya yang dimulai dengan “Kanvas” atau “kanvas”. -
cloudwatch— Memungkinkan kepala sekolah untuk mengambil data metrik Amazon. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvas AIServicesAccess
Kebijakan ini memberikan izin kepada Amazon SageMaker Canvas untuk menggunakan Amazon Ttract, Amazon Rekognition, Amazon Comprehend, dan Amazon Bedrock.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
textract— Memungkinkan kepala sekolah menggunakan Amazon Ttract untuk mendeteksi dokumen, pengeluaran, dan identitas dalam sebuah gambar. -
rekognition— Memungkinkan kepala sekolah menggunakan Amazon Rekognition untuk mendeteksi label dan teks dalam gambar. -
comprehend— Memungkinkan kepala sekolah menggunakan Amazon Comprehend untuk mendeteksi sentimen dan bahasa dominan, dan entitas informasi yang dapat diidentifikasi dan diidentifikasi secara pribadi () dalam dokumen teks. PII -
bedrock— Memungkinkan kepala sekolah menggunakan Amazon Bedrock untuk membuat daftar dan memanggil model pondasi. -
iam— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvasBedrockAccess
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon SageMaker Canvas dengan Amazon Bedrock.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3 di direktori “Sagemaker-*/Canvas”.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvasForecastAccess
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon SageMaker Canvas dengan Amazon Forecast.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya dimulai dengan “sagemaker-”.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS kebijakan terkelola: AmazonSageMakerCanvas EMRServerlessExecutionRolePolicy
Kebijakan ini memberikan izin ke Amazon EMR Tanpa Server untuk AWS layanan, seperti Amazon S3, yang digunakan oleh SageMaker Amazon Canvas untuk pemrosesan data besar.
Detail izin
Kebijakan AWS terkelola ini mencakup izin berikut.
-
s3— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang namanya termasuk "SageMaker" atau “pembuat sagemaker”; atau ditandai dengan "SageMaker“, tidak peka huruf besar/kecil.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
SageMaker Pembaruan Amazon ke kebijakan terkelola Amazon SageMaker Canvas
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk SageMaker Canvas sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Perubahan | Tanggal |
|---|---|---|---|
|
AmazonSageMakerCanvasDataPrepFullAccess - Pembaruan ke kebijakan yang tersedia |
4 |
Tambahkan sumber daya ke |
Agustus 16, 2024 |
|
AmazonSageMakerCanvasFullAccess - Pembaruan ke kebijakan yang tersedia |
11 |
Tambahkan sumber daya ke |
Agustus 15, 2024 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy- Kebijakan baru |
1 |
Kebijakan awal |
Juli 26, 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Pembaruan ke kebijakan yang tersedia |
3 |
Tambahkan |
Juli 18, 2024 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
10 |
Tambahkan Tambahkan Tambahkan Tambahkan Tambahkan |
9 Juli 2024 |
|
AmazonSageMakerCanvasBedrockAccess- Kebijakan baru |
1 |
Kebijakan awal |
Februari 2, 2024 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
9 |
Tambahkan |
Januari 24, 2024 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
8 |
Tambahkan |
8 Desember 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Pembaruan ke kebijakan yang tersedia |
2 |
Pembaruan kecil untuk menegakkan maksud kebijakan sebelumnya, versi 1; tidak ada izin yang ditambahkan atau dihapus. |
Desember 7, 2023 |
|
AmazonSageMakerCanvasAIServicesAccess - Pembaruan ke kebijakan yang tersedia |
3 |
Tambahkan |
November 29, 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Kebijakan baru |
1 |
Kebijakan awal |
26 Oktober 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess- Kebijakan baru |
1 |
Kebijakan awal |
Oktober 6, 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
7 |
Tambahkan |
September 29, 2023 |
|
AmazonSageMakerCanvasAIServicesAccess - Pembaruan ke kebijakan yang tersedia |
2 |
Tambahkan |
September 29, 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
6 |
Tambahkan |
29 Agustus 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
5 |
Tambahkan |
Juli 24, 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
4 |
Tambahkan |
4 Mei 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
3 |
Tambahkan |
24 Maret 2023 |
|
AmazonSageMakerCanvasAIServicesAccess- Kebijakan baru |
1 |
Kebijakan awal |
Maret 23, 2023 |
AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada |
2 |
Tambahkan |
6 Desember 2022 |
AmazonSageMakerCanvasFullAccess - Kebijakan baru |
1 |
Kebijakan awal |
8 September 2022 |
|
AmazonSageMakerCanvasForecastAccess- Kebijakan baru |
1 |
Kebijakan awal |
Agustus 24, 2022 |
