AWS Kebijakan Terkelola untuk SageMaker Notebook - Amazon SageMaker
AmazonSageMakerNotebooksServiceRolePolicySageMaker Pembaruan kebijakan buku catatan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Kebijakan Terkelola untuk SageMaker Notebook

Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Buku SageMaker Catatan. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari SageMaker konsol.

AWS kebijakan terkelola: AmazonSageMakerNotebooksServiceRolePolicy

Kebijakan AWS terkelola ini memberikan izin yang biasanya diperlukan untuk menggunakan Notebook Amazon SageMaker . Kebijakan ditambahkan ke kebijakan AWSServiceRoleForAmazonSageMakerNotebooks yang dibuat saat Anda onboard ke Amazon SageMaker Studio Classic. Untuk informasi selengkapnya tentang peran terkait layanan, lihat. Peran Tertaut Layanan

Detail izin

Kebijakan ini mencakup izin berikut.

  • elasticfilesystem— Memungkinkan prinsipal untuk membuat dan menghapus sistem file Amazon Elastic File System (EFS), titik akses, dan target mount. Ini terbatas pada yang ditandai dengan kunci ManagedByAmazonSageMakerResource. Memungkinkan prinsipal untuk mendeskripsikan semua sistem EFS file, titik akses, dan target mount. Memungkinkan prinsipal untuk membuat atau menimpa tag untuk titik EFS akses dan memasang target.

  • ec2— Memungkinkan prinsipal membuat antarmuka jaringan dan grup keamanan untuk instans Amazon Elastic Compute Cloud (). EC2 Juga memungkinkan prinsipal untuk membuat dan menimpa tag untuk sumber daya ini.

  • sso— Memungkinkan prinsipal untuk menambah dan menghapus instance aplikasi terkelola ke. AWS IAM Identity Center

  • sagemaker— Memungkinkan kepala sekolah untuk membuat dan membaca profil dan spasi SageMaker pengguna; dan menghapus SageMaker SageMaker spasi dan aplikasi. SageMaker Juga memungkinkan prinsipal untuk menambahkan dan daftar tag.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker memperbarui kebijakan terkelola SageMaker Notebook

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker sejak layanan ini mulai melacak perubahan ini.

Kebijakan Versi Perubahan Tanggal

AmazonSageMakerNotebooksServiceRolePolicy - Pembaruan ke kebijakan yang tersedia

9

Tambahkan sagemaker:DeleteApp izin.

 Juli 24, 2024

AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada

8

Tambahkansagemaker:CreateSpace,sagemaker:DescribeSpace,sagemaker:DeleteSpace,sagemaker:ListTags, dan sagemaker:AddTags izin.

 22 Mei 2024

AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada

7

Tambahkan elasticfilesystem:TagResource izin.

 9 Maret 2023

AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada

6

Tambahkanelasticfilesystem:CreateAccessPoint,elasticfilesystem:DeleteAccessPoint, dan elasticfilesystem:DescribeAccessPoints izin.

 Januari 12, 2023

SageMaker mulai melacak perubahan untuk kebijakan AWS terkelolanya.

 1 Juni 2021