Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon SageMaker Canvas
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker Canvas. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
Argomenti
- AWS politica gestita: AmazonSageMakerCanvasFullAccess
- AWS politica gestita: AmazonSageMakerCanvasDataPrepFullAccess
- AWS politica gestita: AmazonSageMakerCanvasDirectDeployAccess
- AWS politica gestita: accesso AmazonSageMakerCanvas AIServices
- AWS politica gestita: AmazonSageMakerCanvasBedrockAccess
- AWS politica gestita: AmazonSageMakerCanvasForecastAccess
- AWS politica gestita: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
- AWS politica gestita: AmazonSageMakerCanvas SMData ScienceAssistantAccess
- Aggiornamenti di Amazon SageMaker AI alle politiche gestite di Amazon SageMaker Canvas
AWS politica gestita: AmazonSageMakerCanvasFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo ad Amazon SageMaker Canvas tramite l'SDK AWS Management Console and. La policy fornisce anche l'accesso selezionato ai servizi correlati [ad esempio, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, CloudWatch Amazon Redshift, Amazon Autopilot, Model Registry, e AWS Secrets Manager Amazon Forecast SageMaker ]. SageMaker
Questa politica ha lo scopo di aiutare i clienti a sperimentare e iniziare a utilizzare tutte le funzionalità di Canvas. SageMaker Per un controllo più preciso, suggeriamo ai clienti di creare le proprie versioni con ambito ridotto man mano che passano ai carichi di lavoro di produzione. Per ulteriori informazioni, consulta IAM policy types: How and when to use them
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker— Consente ai responsabili di creare e ospitare modelli di SageMaker intelligenza artificiale su risorse il cui ARN contiene «Canvas», «canvas» o «model-compilation-». Inoltre, gli utenti possono registrare il proprio modello SageMaker Canvas su SageMaker AI Model Registry nello stesso account. AWS Consente inoltre ai responsabili di creare e gestire processi di SageMaker formazione, trasformazione e AutoML. -
application-autoscaling— Consente ai responsabili di scalare automaticamente un endpoint di SageMaker inferenza AI. -
athena— Consente ai responsabili di interrogare un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena e di accedere alle tabelle nei cataloghi. -
cloudwatch— Consente ai responsabili di creare e gestire CloudWatch allarmi Amazon. -
ec2: consente alle entità principali di creare endpoint VPC Amazon. -
ecr: consente alle entità principali di ottenere informazioni sull'immagine di un container. -
emr-serverless— Consente ai responsabili di creare e gestire applicazioni e job run di Amazon EMR Serverless. Consente inoltre ai responsabili di etichettare le risorse Canvas. SageMaker -
forecast: consente alle entità principali di utilizzare Amazon Forecast. -
glue— Consente ai responsabili di recuperare le tabelle, i database e le partizioni nel catalogo. AWS Glue -
iam— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker AI, Amazon Forecast e Amazon EMR Serverless. Consente inoltre ai responsabili di creare un ruolo collegato ai servizi. -
kms— Consente ai presidi di leggere una AWS KMS chiave contrassegnata con.Source:SageMakerCanvas -
logs: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento. -
quicksight— Consente ai responsabili di elencare i namespace nell'account Amazon. QuickSight -
rds: consente alle entità principali di restituire informazioni sulle istanze Amazon RDS per cui è stato effettuato il provisioning. -
redshift: consente alle entità principali di ottenere le credenziali per un dbuser "sagemaker_access*" su qualsiasi cluster Amazon Redshift, se tale utente esiste. -
redshift-data: consente alle entità principali di eseguire query su Amazon Redshift utilizzando l'API di dati di Amazon Redshift. Ciò fornisce solo l'accesso ai dati Redshift APIs stessi e non fornisce l'accesso diretto ai cluster Amazon Redshift. Per ulteriori informazioni, consulta Uso dell'API dati di Amazon Redshift. -
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker». Consente inoltre ai principali di recuperare oggetti dai bucket Amazon S3 il cui ARN inizia con jumpstart-cache-prod "-» in regioni specifiche. -
secretsmanager: consente alle entità principali di memorizzare le credenziali dei clienti per connettersi a un database Snowflake utilizzando il Gestore dei segreti.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS politica gestita: AmazonSageMakerCanvasDataPrepFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo alla funzionalità di preparazione dei dati di Amazon SageMaker Canvas. La policy fornisce anche le autorizzazioni con privilegi minimi per i servizi che si integrano con la funzionalità di preparazione dei dati [ad esempio, Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), Amazon EMR, Amazon, Amazon Redshift, () e]. EventBridge AWS Key Management Service AWS KMS AWS Secrets Manager
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker— Consente ai responsabili di accedere ai processi di elaborazione, ai lavori di formazione, alle pipeline di inferenza, ai lavori AutoML e ai gruppi di funzionalità. -
athena— Consente ai responsabili di interrogare un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena. -
elasticmapreduce— Consente ai responsabili di leggere ed elencare i cluster Amazon EMR. -
emr-serverless— Consente ai responsabili di creare e gestire applicazioni e job run di Amazon EMR Serverless. Consente inoltre ai responsabili di etichettare le risorse Canvas. SageMaker -
events— Consente ai responsabili di creare, leggere, aggiornare e aggiungere obiettivi alle EventBridge regole di Amazon per i lavori pianificati. -
glue— Consente ai responsabili di ottenere e cercare tabelle dai database del AWS Glue catalogo. -
iam— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker AI e Amazon EMR Serverless. EventBridge Consente inoltre ai responsabili di creare un ruolo collegato ai servizi. -
kms— Consente ai responsabili di recuperare gli AWS KMS alias archiviati nei job e negli endpoint e di accedere alla chiave KMS associata. -
logs: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento. -
redshift— Consente ai mandanti di ottenere le credenziali per accedere a un database Amazon Redshift. -
redshift-data— Consente ai responsabili di eseguire, annullare, descrivere, elencare e ottenere i risultati delle query su Amazon Redshift. Consente inoltre ai responsabili di elencare schemi e tabelle di Amazon Redshift. -
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker»; oppure sono etichettati con "«, senza distinzione tra maiuscole e minuscole. SageMaker -
secretsmanager— Consente ai responsabili di archiviare e recuperare le credenziali del database dei clienti utilizzando Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS politica gestita: AmazonSageMakerCanvasDirectDeployAccess
Questa politica concede le autorizzazioni necessarie ad Amazon SageMaker Canvas per creare e gestire gli endpoint Amazon SageMaker AI.
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker— Consente ai responsabili di creare e gestire endpoint SageMaker AI con un nome di risorsa ARN che inizia con «Canvas» o «canvas». -
cloudwatch— Consente ai committenti di recuperare i dati CloudWatch metrici di Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS politica gestita: accesso AmazonSageMakerCanvas AIServices
Questa politica concede ad Amazon SageMaker Canvas le autorizzazioni per utilizzare Amazon Textract, Amazon Rekognition, Amazon Comprehend e Amazon Bedrock.
Dettagli dell'autorizzazione
Questa politica gestita include le seguenti autorizzazioni. AWS
-
textract: consente alle entità principali di utilizzare Amazon Textract per rilevare documenti, spese e identità all'interno di un'immagine. -
rekognition: consente alle entità principali di utilizzare Amazon Rekognition per rilevare etichette e testo all'interno di un'immagine. -
comprehend: consente alle entità principali di utilizzare Amazon Comprehend per rilevare la valutazione, la lingua principale e infine le entità con nome e informazioni di identificazione personale (PII) all'interno di un documento di testo. -
bedrock: consente alle entità principali di utilizzare Amazon Bedrock per elencare e richiamare modelli di fondazione. -
iam— Consente ai responsabili di trasferire un ruolo IAM ad Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS politica gestita: AmazonSageMakerCanvasBedrockAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Bedrock.
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
s3— Consente ai mandanti di aggiungere e recuperare oggetti dai bucket Amazon S3 nella directory «SageMaker-*/Canvas».
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS politica gestita: AmazonSageMakerCanvasForecastAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Forecast.
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome inizia con "sagemaker-".
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS politica gestita: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Questa politica concede autorizzazioni ad Amazon EMR Serverless per AWS servizi, come Amazon S3, utilizzati da Amazon Canvas per l'elaborazione di dati di grandi dimensioni. SageMaker
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker" o «sagemaker»; oppure sono contrassegnati con "SageMaker«, senza distinzione tra maiuscole e minuscole.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS politica gestita: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Questa politica concede le autorizzazioni agli utenti di Amazon SageMaker Canvas per avviare conversazioni con Amazon Q Developer. Questa funzionalità richiede le autorizzazioni sia per Amazon Q Developer che per il servizio SageMaker AI Data Science Assistant.
Dettagli dell'autorizzazione
Questa politica AWS gestita include le seguenti autorizzazioni.
-
q— Consente ai responsabili di inviare richieste ad Amazon Q Developer. -
sagemaker-data-science-assistant— Consente ai responsabili di inviare prompt al servizio Canvas Data Science Assistant. SageMaker
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerDataScienceAssistantAccess", "Effect": "Allow", "Action": [ "sagemaker-data-science-assistant:SendConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AmazonQDeveloperAccess", "Effect": "Allow", "Action": [ "q:SendMessage", "q:StartConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Aggiornamenti di Amazon SageMaker AI alle politiche gestite di Amazon SageMaker Canvas
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per SageMaker Canvas da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Policy | Versione | Modifica | Data |
|---|---|---|---|
|
AmazonSageMakerCanvasSMDataScienceAssistantAccess - Aggiornamento a una policy esistente |
2 |
Aggiunta l'autorizzazione |
14 gennaio 2025 |
|
AmazonSageMakerCanvasSMDataScienceAssistantAccess: nuova policy |
1 |
Policy iniziale |
4 dicembre 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente |
4 |
Aggiungi la risorsa all' |
16 agosto 2024 |
|
AmazonSageMakerCanvasFullAccess - Aggiornamento a una policy esistente |
11 |
Aggiungi la risorsa all' |
15 agosto 2024 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy: nuova policy |
1 |
Policy iniziale |
26 luglio 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente |
3 |
Aggiungi |
18 luglio 2024 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
10 |
Aggiungi Aggiungi Aggiunte le autorizzazioni Aggiunte le autorizzazioni Aggiungi |
9 luglio 2024 |
|
AmazonSageMakerCanvasBedrockAccess: nuova policy |
1 |
Policy iniziale |
2 febbraio 2024 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
9 |
Aggiunta l'autorizzazione |
24 gennaio 2024 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
8 |
Aggiungi |
8 dicembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente |
2 |
Piccolo aggiornamento per far rispettare gli intenti della politica precedente, versione 1; nessuna autorizzazione aggiunta o eliminata. |
7 dicembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccesso - Aggiornamento a una policy esistente |
3 |
Aggiungi |
29 novembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Nuova politica |
1 |
Policy iniziale |
26 ottobre 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess: nuova policy |
1 |
Policy iniziale |
6 ottobre 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
7 |
Aggiunte le autorizzazioni |
29 settembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccesso: aggiornamento a una politica esistente |
2 |
Aggiunte le autorizzazioni |
29 settembre 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
6 |
Aggiunta l'autorizzazione |
29 agosto 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
5 |
Aggiunte le autorizzazioni |
24 luglio 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
4 |
Aggiunte le autorizzazioni |
4 maggio 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
3 |
Aggiunte le autorizzazioni |
24 marzo 2023 |
|
AmazonSageMakerCanvasAIServicesAccesso: nuova politica |
1 |
Policy iniziale |
23 marzo 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
2 |
Aggiunta l'autorizzazione |
6 dicembre 2022 |
AmazonSageMakerCanvasFullAccess - Nuova politica |
1 |
Policy iniziale |
8 settembre 2022 |
|
AmazonSageMakerCanvasForecastAccess: nuova policy |
1 |
Policy iniziale |
24 agosto 2022 |
