AWS Kebijakan Terkelola untuk Amazon SageMaker - Amazon SageMaker
AmazonSageMakerFullAccessAmazonSageMakerReadOnlyPembaruan SageMaker kebijakan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Kebijakan Terkelola untuk Amazon SageMaker

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Butuh waktu dan keahlian untuk membuat kebijakan terkelola IAM pelanggan yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan IAM Pengguna.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini memengaruhi semua identitas (pengguna, grup, dan peran) tempat kebijakan dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat kebijakan AWS terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.

penting

Kami menyarankan Anda menggunakan kebijakan paling terbatas yang memungkinkan Anda untuk melakukan kasus penggunaan Anda.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon SageMaker:

  • AmazonSageMakerFullAccess— Memberikan akses penuh ke Amazon SageMaker dan sumber daya SageMaker geospasial dan operasi yang didukung. Ini tidak menyediakan akses Amazon S3 yang tidak terbatas, tetapi mendukung bucket dan objek dengan tag tertentu. sagemaker Kebijakan ini memungkinkan semua IAM peran diteruskan ke Amazon SageMaker, tetapi hanya mengizinkan IAM peran dengan AmazonSageMaker "" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan.

  • AmazonSageMakerReadOnly— Memberikan akses hanya-baca ke sumber daya Amazon. SageMaker

Kebijakan AWS terkelola berikut dapat dilampirkan ke pengguna di akun Anda tetapi tidak disarankan:

  • AdministratorAccess— Memberikan semua tindakan untuk semua AWS layanan dan untuk semua sumber daya di akun.

  • DataScientistMemberikan berbagai izin untuk mencakup sebagian besar kasus penggunaan (terutama untuk analitik dan intelijen bisnis) yang dihadapi oleh ilmuwan data.

Anda dapat meninjau kebijakan izin ini dengan masuk ke IAM konsol dan mencarinya.

Anda juga dapat membuat IAM kebijakan kustom Anda sendiri untuk mengizinkan izin untuk SageMaker tindakan dan sumber daya Amazon saat Anda membutuhkannya. Anda dapat melampirkan kebijakan khusus ini ke pengguna atau grup yang memerlukannya.

Topik

AWS kebijakan terkelola: AmazonSageMakerFullAccess

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua Amazon SageMaker dan sumber daya dan operasi SageMaker geospasial. Kebijakan ini juga menyediakan akses terpilih ke layanan terkait. Kebijakan ini memungkinkan semua IAM peran diteruskan ke Amazon SageMaker, tetapi hanya mengizinkan IAM peran dengan AmazonSageMaker "" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan. Kebijakan ini tidak menyertakan izin untuk membuat SageMaker domain Amazon. Untuk informasi tentang kebijakan yang diperlukan untuk membuat domain, lihatLengkapi SageMaker prasyarat Amazon.

Detail izin

Kebijakan ini mencakup izin berikut.

  • application-autoscaling— Memungkinkan prinsipal untuk secara otomatis menskalakan titik akhir inferensi waktu SageMaker nyata.

  • athena— Memungkinkan prinsipal untuk menanyakan daftar katalog data, database, dan metadata tabel dari. Amazon Athena

  • aws-marketplace— Memungkinkan kepala sekolah untuk melihat langganan AI AWS Marketplace. Anda memerlukan ini jika Anda ingin mengakses SageMaker perangkat lunak berlangganan. AWS Marketplace

  • cloudformation— Memungkinkan prinsipal untuk mendapatkan AWS CloudFormation template untuk menggunakan SageMaker JumpStart solusi dan Pipelines. SageMaker JumpStartmenciptakan sumber daya yang diperlukan untuk menjalankan solusi pembelajaran end-to-end mesin yang SageMaker terkait dengan AWS layanan lain. SageMaker Pipelines membuat proyek baru yang didukung oleh Service Catalog.

  • cloudwatch— Memungkinkan kepala sekolah untuk memposting CloudWatch metrik, berinteraksi dengan alarm, dan mengunggah log ke CloudWatch Log di akun Anda.

  • codebuild— Memungkinkan kepala sekolah untuk menyimpan AWS CodeBuild artefak untuk Pipeline dan Proyek. SageMaker

  • codecommit— Diperlukan untuk AWS CodeCommit integrasi dengan instance SageMaker notebook.

  • cognito-idp— Diperlukan untuk Amazon SageMaker Ground Truth untuk mendefinisikan tenaga kerja pribadi dan tim kerja.

  • ec2— Diperlukan SageMaker untuk mengelola EC2 sumber daya Amazon dan antarmuka jaringan saat Anda menentukan Amazon VPC untuk SageMaker pekerjaan, model, titik akhir, dan instans notebook Anda.

  • ecr— Diperlukan untuk menarik dan menyimpan artefak Docker untuk Amazon SageMaker Studio Classic (gambar khusus), pelatihan, pemrosesan, inferensi batch, dan titik akhir inferensi. Ini juga diperlukan untuk menggunakan wadah Anda sendiri SageMaker. Izin tambahan untuk SageMaker JumpStart solusi diperlukan untuk membuat dan menghapus gambar khusus atas nama pengguna.

  • elasticfilesystem— Memungkinkan kepala sekolah mengakses Amazon Elastic File System. Ini diperlukan SageMaker untuk menggunakan sumber data di Amazon Elastic File System untuk melatih model pembelajaran mesin.

  • fsx— Memungkinkan kepala sekolah untuk mengakses Amazon. FSx Ini diperlukan SageMaker untuk menggunakan sumber data di Amazon FSx untuk melatih model pembelajaran mesin.

  • glue— Diperlukan untuk pra-pemrosesan pipa inferensi dari dalam instance SageMaker notebook.

  • groundtruthlabeling— Diperlukan untuk pekerjaan pelabelan Ground Truth. groundtruthlabelingTitik akhir diakses oleh konsol Ground Truth.

  • iam— Diperlukan untuk memberikan akses SageMaker konsol ke IAM peran yang tersedia dan membuat peran terkait layanan.

  • kms— Diperlukan untuk memberikan akses SageMaker konsol ke AWS KMS kunci yang tersedia dan mengambilnya untuk AWS KMS alias tertentu dalam pekerjaan dan titik akhir.

  • lambda— Memungkinkan kepala sekolah untuk memanggil dan mendapatkan daftar fungsi. AWS Lambda

  • logs— Diperlukan untuk memungkinkan SageMaker pekerjaan dan titik akhir untuk mempublikasikan aliran log.

  • redshift— Memungkinkan kepala sekolah mengakses kredenal cluster Amazon Redshift.

  • redshift-data— Memungkinkan prinsipal menggunakan data dari Amazon Redshift untuk menjalankan, mendeskripsikan, dan membatalkan pernyataan; mendapatkan hasil pernyataan; dan daftar skema dan tabel.

  • robomaker— Memungkinkan kepala sekolah memiliki akses penuh untuk membuat, mendapatkan deskripsi, dan menghapus aplikasi dan pekerjaan AWS RoboMaker simulasi. Ini juga diperlukan untuk menjalankan contoh pembelajaran penguatan pada instance notebook.

  • s3, s3express- Memungkinkan kepala sekolah memiliki akses penuh ke sumber daya Amazon S3 dan Amazon S3 Express yang berkaitan dengan, SageMaker tetapi tidak semua Amazon S3 atau Amazon S3 Express.

  • sagemaker— Memungkinkan prinsipal untuk mencantumkan tag pada profil SageMaker pengguna, dan menambahkan tag ke SageMaker aplikasi dan spasi. Mengizinkan akses hanya ke SageMaker definisi aliran sagemaker: WorkteamType “private-crowd” atau “vendor-crowd”.

  • sagemakerdan sagemaker-geospatial — Memungkinkan kepala sekolah akses hanya-baca ke SageMaker domain dan profil pengguna.

  • secretsmanager— Memungkinkan kepala sekolah untuk memiliki akses penuh ke. AWS Secrets Manager Prinsipal dapat dengan aman mengenkripsi, menyimpan, dan mengambil kredensyal untuk database dan layanan lainnya. Ini juga diperlukan untuk instance SageMaker notebook dengan repositori SageMaker kode yang digunakan. GitHub

  • servicecatalog— Memungkinkan kepala sekolah untuk menggunakan Service Catalog. Prinsipal dapat membuat, mendapatkan daftar, memperbarui, atau menghentikan produk yang disediakan, seperti server, database, situs web, atau aplikasi yang digunakan menggunakan sumber daya. AWS Ini diperlukan untuk SageMaker JumpStart dan Proyek untuk menemukan dan membaca produk katalog layanan dan meluncurkan AWS sumber daya pada pengguna.

  • sns— Memungkinkan kepala sekolah untuk mendapatkan daftar topik Amazon. SNS Ini diperlukan untuk titik akhir dengan Inferensi Async diaktifkan untuk memberi tahu pengguna bahwa inferensi mereka telah selesai.

  • states— Diperlukan untuk SageMaker JumpStart dan Pipelines untuk menggunakan katalog layanan untuk membuat sumber daya fungsi langkah.

  • tag- Diperlukan untuk SageMaker Pipelines untuk dirender di Studio Classic. Studio Classic membutuhkan sumber daya yang ditandai dengan kunci sagemaker:project-id tag tertentu. Ini membutuhkan tag:GetResources izin.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAllNonAdminSageMakerActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:*",
        "sagemaker-geospatial:*"
      ],
      "NotResource": [
        "arn:aws:sagemaker:*:*:domain/*",
        "arn:aws:sagemaker:*:*:user-profile/*",
        "arn:aws:sagemaker:*:*:app/*",
        "arn:aws:sagemaker:*:*:space/*",
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ]
    },
    {
      "Sid": "AllowAddTagsForSpace",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:space/*"
      ],
      "Condition": {
        "StringEquals": {
          "sagemaker:TaggingAction": "CreateSpace"
        }
      }
    },
    {
      "Sid": "AllowAddTagsForApp",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:app/*"
      ]
    },
    {
      "Sid": "AllowStudioActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowAppActionsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "AllowAppActionsForSharedSpaces",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private",
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private"
          ]
        }
      }
    },
    {
      "Sid": "AllowFlowDefinitionActions",
      "Effect": "Allow",
      "Action": "sagemaker:*",
      "Resource": [
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ],
      "Condition": {
        "StringEqualsIfExists": {
          "sagemaker:WorkteamType": [
            "private-crowd",
            "vendor-crowd"
          ]
        }
      }
    },
    {
      "Sid": "AllowAWSServiceActions",
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DeleteScalingPolicy",
        "application-autoscaling:DeleteScheduledAction",
        "application-autoscaling:DeregisterScalableTarget",
        "application-autoscaling:DescribeScalableTargets",
        "application-autoscaling:DescribeScalingActivities",
        "application-autoscaling:DescribeScalingPolicies",
        "application-autoscaling:DescribeScheduledActions",
        "application-autoscaling:PutScalingPolicy",
        "application-autoscaling:PutScheduledAction",
        "application-autoscaling:RegisterScalableTarget",
        "aws-marketplace:ViewSubscriptions",
        "cloudformation:GetTemplateSummary",
        "cloudwatch:DeleteAlarms",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:PutMetricData",
        "codecommit:BatchGetRepositories",
        "codecommit:CreateRepository",
        "codecommit:GetRepository",
        "codecommit:List*",
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:List*",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient",
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage",
        "ecr:CreateRepository",
        "ecr:Describe*",
        "ecr:GetAuthorizationToken",
        "ecr:GetDownloadUrlForLayer",
        "ecr:StartImageScan",
        "elastic-inference:Connect",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeMountTargets",
        "fsx:DescribeFileSystems",
        "glue:CreateJob",
        "glue:DeleteJob",
        "glue:GetJob*",
        "glue:GetTable*",
        "glue:GetWorkflowRun",
        "glue:ResetJobBookmark",
        "glue:StartJobRun",
        "glue:StartWorkflowRun",
        "glue:UpdateJob",
        "groundtruthlabeling:*",
        "iam:ListRoles",
        "kms:DescribeKey",
        "kms:ListAliases",
        "lambda:ListFunctions",
        "logs:CreateLogDelivery",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DeleteLogDelivery",
        "logs:Describe*",
        "logs:GetLogDelivery",
        "logs:GetLogEvents",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:PutResourcePolicy",
        "logs:UpdateLogDelivery",
        "robomaker:CreateSimulationApplication",
        "robomaker:DescribeSimulationApplication",
        "robomaker:DeleteSimulationApplication",
        "robomaker:CreateSimulationJob",
        "robomaker:DescribeSimulationJob",
        "robomaker:CancelSimulationJob",
        "secretsmanager:ListSecrets",
        "servicecatalog:Describe*",
        "servicecatalog:List*",
        "servicecatalog:ScanProvisionedProducts",
        "servicecatalog:SearchProducts",
        "servicecatalog:SearchProvisionedProducts",
        "sns:ListTopics",
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowECRActions",
      "Effect": "Allow",
      "Action": [
        "ecr:SetRepositoryPolicy",
        "ecr:CompleteLayerUpload",
        "ecr:BatchDeleteImage",
        "ecr:UploadLayerPart",
        "ecr:DeleteRepositoryPolicy",
        "ecr:InitiateLayerUpload",
        "ecr:DeleteRepository",
        "ecr:PutImage"
      ],
      "Resource": [
        "arn:aws:ecr:*:*:repository/*sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeCommitActions",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull",
        "codecommit:GitPush"
      ],
      "Resource": [
        "arn:aws:codecommit:*:*:*sagemaker*",
        "arn:aws:codecommit:*:*:*SageMaker*",
        "arn:aws:codecommit:*:*:*Sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeBuildActions",
      "Action": [
        "codebuild:BatchGetBuilds",
        "codebuild:StartBuild"
      ],
      "Resource": [
        "arn:aws:codebuild:*:*:project/sagemaker*",
        "arn:aws:codebuild:*:*:build/*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowStepFunctionsActions",
      "Action": [
        "states:DescribeExecution",
        "states:GetExecutionHistory",
        "states:StartExecution",
        "states:StopExecution",
        "states:UpdateStateMachine"
      ],
      "Resource": [
        "arn:aws:states:*:*:statemachine:*sagemaker*",
        "arn:aws:states:*:*:execution:*sagemaker*:*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowSecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:CreateSecret"
      ],
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
      ]
    },
    {
      "Sid": "AllowReadOnlySecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "secretsmanager:ResourceTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowServiceCatalogProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:ProvisionProduct"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:TerminateProvisionedProduct",
        "servicecatalog:UpdateProvisionedProduct"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "servicecatalog:userLevel": "self"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*",
        "arn:aws:s3:::*aws-glue*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "s3:ExistingObjectTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
        }
      }
    },
    {
      "Sid": "AllowS3BucketActions",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetBucketLocation",
        "s3:ListBucket",
        "s3:ListAllMyBuckets",
        "s3:GetBucketCors",
        "s3:PutBucketCors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowS3BucketACL",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AllowLambdaInvokeFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:InvokeFunction"
      ],
      "Resource": [
        "arn:aws:lambda:*:*:function:*SageMaker*",
        "arn:aws:lambda:*:*:function:*sagemaker*",
        "arn:aws:lambda:*:*:function:*Sagemaker*",
        "arn:aws:lambda:*:*:function:*LabelingFunction*"
      ]
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
      "Action": "iam:CreateServiceLinkedRole",
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForRobomaker",
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "robomaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowSNSActions",
      "Effect": "Allow",
      "Action": [
        "sns:Subscribe",
        "sns:CreateTopic",
        "sns:Publish"
      ],
      "Resource": [
        "arn:aws:sns:*:*:*SageMaker*",
        "arn:aws:sns:*:*:*Sagemaker*",
        "arn:aws:sns:*:*:*sagemaker*"
      ]
    },
    {
      "Sid": "AllowPassRoleForSageMakerRoles",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": [
            "glue.amazonaws.com",
            "robomaker.amazonaws.com",
            "states.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowPassRoleToSageMaker",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowAthenaActions",
      "Effect": "Allow",
      "Action": [
        "athena:ListDataCatalogs",
        "athena:ListDatabases",
        "athena:ListTableMetadata",
        "athena:GetQueryExecution",
        "athena:GetQueryResults",
        "athena:StartQueryExecution",
        "athena:StopQueryExecution"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowGlueCreateTable",
      "Effect": "Allow",
      "Action": [
        "glue:CreateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueUpdateTable",
      "Effect": "Allow",
      "Action": [
        "glue:UpdateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore"
      ]
    },
    {
      "Sid": "AllowGlueDeleteTable",
      "Effect": "Allow",
      "Action": [
        "glue:DeleteTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetTablesAndDatabases",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabases",
        "glue:GetTable",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetAndCreateDatabase",
      "Effect": "Allow",
      "Action": [
        "glue:CreateDatabase",
        "glue:GetDatabase"
      ],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore",
        "arn:aws:glue:*:*:database/sagemaker_processing",
        "arn:aws:glue:*:*:database/default",
        "arn:aws:glue:*:*:database/sagemaker_data_wrangler"
      ]
    },
    {
      "Sid": "AllowRedshiftDataActions",
      "Effect": "Allow",
      "Action": [
        "redshift-data:ExecuteStatement",
        "redshift-data:DescribeStatement",
        "redshift-data:CancelStatement",
        "redshift-data:GetStatementResult",
        "redshift-data:ListSchemas",
        "redshift-data:ListTables"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowRedshiftGetClusterCredentials",
      "Effect": "Allow",
      "Action": [
        "redshift:GetClusterCredentials"
      ],
      "Resource": [
        "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
        "arn:aws:redshift:*:*:dbname:*"
      ]
    },
    {
      "Sid": "AllowListTagsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:ListTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:user-profile/*"
      ]
    },
    {
      "Sid": "AllowCloudformationListStackResources",
      "Effect": "Allow",
      "Action": [
        "cloudformation:ListStackResources"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
    },
    {
      "Sid": "AllowS3ExpressObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateSession"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*",
        "arn:aws:s3express:*:*:bucket/*aws-glue*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressCreateBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressListBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:ListAllMyDirectoryBuckets"
      ],
      "Resource": "*"
    }
  ]
}
Tampilkan lebih banyakTampilkan lebih sedikit

AWS kebijakan terkelola: AmazonSageMakerReadOnly

Kebijakan ini memberikan akses hanya-baca ke Amazon SageMaker melalui dan. AWS Management Console SDK

Detail izin

Kebijakan ini mencakup izin berikut.

  • application-autoscaling— Memungkinkan pengguna untuk menelusuri deskripsi titik akhir inferensi SageMaker real-time yang dapat diskalakan.

  • aws-marketplace— Memungkinkan pengguna untuk melihat langganan AWS AI Marketplace.

  • cloudwatch— Memungkinkan pengguna untuk menerima CloudWatch alarm.

  • cognito-idp— Diperlukan untuk Amazon SageMaker Ground Truth untuk menelusuri deskripsi dan daftar tenaga kerja pribadi dan tim kerja.

  • ecr— Diperlukan untuk membaca artefak Docker untuk pelatihan dan inferensi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:Describe*",
                "sagemaker:List*",
                "sagemaker:BatchGetMetrics",
                "sagemaker:GetDeviceRegistration",
                "sagemaker:GetDeviceFleetReport",
                "sagemaker:GetSearchSuggestions",
                "sagemaker:BatchGetRecord",
                "sagemaker:GetRecord",
                "sagemaker:Search",
                "sagemaker:QueryLineage",
                "sagemaker:GetLineageGroupPolicy",
                "sagemaker:BatchDescribeModelPackage",
                "sagemaker:GetModelPackageGroupPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "aws-marketplace:ViewSubscriptions",
                "cloudwatch:DescribeAlarms",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "ecr:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

SageMaker Pembaruan Kebijakan AWS Terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola SageMaker sejak layanan ini mulai melacak perubahan ini.

Kebijakan Versi Perubahan Tanggal

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 26

Tambahkan sagemaker:AddTags izin.

Maret 29, 2024

AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada

 25

Tambahkansagemaker:CreateApp,sagemaker:DescribeApp,sagemaker:DeleteApp,sagemaker:CreateSpace,sagemaker:UpdateSpace,sagemaker:DeleteSpace,s3express:CreateSession,s3express:CreateBucket, dan s3express:ListAllMyDirectoryBuckets izin.

30 November 2023

AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada

 24

Tambahkansagemaker-geospatial:*,sagemaker:AddTags,sagemaker-ListTags,sagemaker-DescribeSpace, dan sagemaker:ListSpaces izin.

30 November 2022

AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada

 23

Tambahkan glue:UpdateTable.

Juni 29, 2022

AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada

 22

Tambahkan cloudformation:ListStackResources.

1 Mei 2022

AmazonSageMakerReadOnly - Pembaruan ke kebijakan yang tersedia

 11

Tambahkansagemaker:QueryLineage,sagemaker:GetLineageGroupPolicy,sagemaker:BatchDescribeModelPackage, sagemaker:GetModelPackageGroupPolicy izin.

1 Desember 2021

AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada

 21

Tambahkan sns:Publish izin untuk titik akhir dengan Inferensi Async diaktifkan.

8 September 2021

AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada

 20

Perbarui iam:PassRole sumber daya dan izin.

15 Juli 2021

AmazonSageMakerReadOnly - Perbarui ke kebijakan yang ada

 10

Baru API BatchGetRecord ditambahkan untuk Toko SageMaker Fitur.

10 Juni 2021

SageMaker mulai melacak perubahan untuk kebijakan AWS terkelolanya.

 1 Juni 2021