AWS Amazon SageMaker Canvas の マネージドポリシー - Amazon SageMaker AI
AmazonSageMakerCanvasFullAccessAmazonSageMakerCanvasDataPrepFullAccessAmazonSageMakerCanvasDirectDeployAccessAmazonSageMakerCanvasAIServicesAccessAmazonSageMakerCanvasBedrockAccessAmazonSageMakerCanvasForecastAccessAmazonSageMakerCanvasEMRServerlessExecutionRolePolicyAmazonSageMakerCanvasDataScienceAssistantAccessSageMaker Canvas ポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon SageMaker Canvas の マネージドポリシー

これらの AWS 管理ポリシーは、Amazon SageMaker Canvas を使用するために必要なアクセス許可を追加します。ポリシーは AWS アカウントで使用でき、 SageMaker AI コンソールから作成された実行ロールによって使用されます。

AWS 管理ポリシー: AmazonSageMakerCanvasFullAccess

このポリシーは、 AWS Management Console および を通じて Amazon SageMaker Canvas へのフルアクセスを許可するアクセス許可を付与しますSDK。このポリシーでは、関連サービス [Amazon Simple Storage Service (Amazon S3)、 AWS Identity and Access Management (IAM)、Amazon Virtual Private Cloud (Amazon VPC)、Amazon Elastic Container Registry (Amazon ECR)、Amazon CloudWatch Logs、Amazon Redshift AWS Secrets Manager、、Amazon SageMaker Autopilot、 SageMaker Model Registry、Amazon Forecast など] への選択アクセスも提供します。

このポリシーは、お客様が SageMaker Canvas のすべての機能を試して開始できるようにすることを目的としています。よりきめ細かい制御を行うには、お客様が本番環境のワークロードに移行する際に、範囲を絞った独自のバージョンを構築することをお勧めします。詳細については、IAM「ポリシータイプ: 使用方法と使用時期」を参照してください。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれています。

  • sagemaker – プリンシパルが「Canvas」、「canvas」、または「model-compilation-ARN」を含むリソースで SageMaker AI モデルを作成してホストできるようにします。さらに、ユーザーは自分の SageMaker Canvas モデルを同じ AWS アカウントの SageMaker AI Model Registry に登録できます。また、プリンシパルが SageMaker トレーニング、変換、AutoML ジョブを作成および管理できるようにします。

  • application-autoscaling – プリンシパルが SageMaker AI 推論エンドポイントを自動的にスケーリングできるようにします。

  • athena – プリンシパルが Amazon Athena からデータカタログ、データベース、テーブルメタデータのリストをクエリし、カタログ内のテーブルにアクセスすることを許可します。

  • cloudwatch – プリンシパルが Amazon CloudWatch アラームを作成および管理できるようにします。

  • ec2 – プリンシパルが Amazon VPCエンドポイントを作成できるようにします。

  • ecr — コンテナイメージに関する情報を取得することをプリンシパルに許可します。

  • emr-serverless – プリンシパルが Amazon EMR Serverless アプリケーションとジョブ実行を作成および管理できるようにします。また、プリンシパルが SageMaker Canvas リソースにタグを付けることも許可します。

  • forecast — Amazon Forecast を使用することをプリンシパルに許可します。

  • glue – プリンシパルが AWS Glue カタログ内のテーブル、データベース、パーティションを取得できるようにします。

  • iam – プリンシパルが Amazon SageMaker AI、Amazon Forecast、Amazon EMR Serverless に IAMロールを渡すことを許可します。プリンシパルがサービスにリンクされたロールを作成することも許可します。

  • kms – プリンシパルが でタグ付けされた AWS KMS キーを読み取ることを許可しますSource:SageMakerCanvas

  • logs — トレーニングジョブとエンドポイントのログを公開することをプリンシパルに許可します。

  • quicksight – プリンシパルが Amazon QuickSight アカウントの名前空間を一覧表示できるようにします。

  • rds – プリンシパルがプロビジョニングされた Amazon RDSインスタンスに関する情報を返すことを許可します。

  • redshift — 任意の Amazon Redshift クラスターで "sagemaker_access*" DBUser の認証情報を取得することをプリンシパルに許可します(そのユーザーが存在する場合)。

  • redshift-data – プリンシパルが Amazon Redshift データ を使用して Amazon Redshift でクエリを実行できるようにしますAPI。これにより、Redshift データAPIs自体へのアクセスのみが提供され、Amazon Redshift クラスターへのアクセスは直接提供されません。詳細については、「Amazon Redshift データの使用API」を参照してください。

  • s3 — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前にSageMaker「」、「Sagemaker」、または「sagemaker」が含まれるオブジェクトに限定されます。また、プリンシパルは、特定のリージョンでjumpstart-cache-prod「-」でARN始まる Amazon S3 バケットからオブジェクトを取得することもできます。

  • secretsmanager — Secrets Manager を使用して Snowflake データベースに接続するための顧客認証情報を保存することをプリンシパルに許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerUserDetailsAndPackageOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeDomain",
                "sagemaker:DescribeUserProfile",
                "sagemaker:ListTags",
                "sagemaker:ListModelPackages",
                "sagemaker:ListModelPackageGroups",
                "sagemaker:ListEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SageMakerPackageGroupOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateModelPackageGroup",
                "sagemaker:CreateModelPackage",
                "sagemaker:DescribeModelPackageGroup",
                "sagemaker:DescribeModelPackage"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:model-package/*",
                "arn:aws:sagemaker:*:*:model-package-group/*"
            ]
        },
        {
            "Sid": "SageMakerTrainingOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateCompilationJob",
                "sagemaker:CreateEndpoint",
                "sagemaker:CreateEndpointConfig",
                "sagemaker:CreateModel",
                "sagemaker:CreateProcessingJob",
                "sagemaker:CreateAutoMLJob",
                "sagemaker:CreateAutoMLJobV2",
                "sagemaker:CreateTrainingJob",
                "sagemaker:CreateTransformJob",
                "sagemaker:DeleteEndpoint",
                "sagemaker:DescribeCompilationJob",
                "sagemaker:DescribeEndpoint",
                "sagemaker:DescribeEndpointConfig",
                "sagemaker:DescribeModel",
                "sagemaker:DescribeProcessingJob",
                "sagemaker:DescribeAutoMLJob",
                "sagemaker:DescribeAutoMLJobV2",
                "sagemaker:DescribeTrainingJob",
                "sagemaker:DescribeTransformJob",
                "sagemaker:ListCandidatesForAutoMLJob",
                "sagemaker:StopAutoMLJob",
                "sagemaker:StopTrainingJob",
                "sagemaker:StopTransformJob",
                "sagemaker:AddTags",
                "sagemaker:DeleteApp"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:*Canvas*",
                "arn:aws:sagemaker:*:*:*canvas*",
                "arn:aws:sagemaker:*:*:*model-compilation-*"
            ]
        },
        {
            "Sid": "SageMakerHostingOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteEndpointConfig",
                "sagemaker:DeleteModel",
                "sagemaker:InvokeEndpoint",
                "sagemaker:UpdateEndpointWeightsAndCapacities",
                "sagemaker:InvokeEndpointAsync"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:*Canvas*",
                "arn:aws:sagemaker:*:*:*canvas*"
            ]
        },
        {
            "Sid": "EC2VPCOperation",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcEndpointServices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ECROperations",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchGetImage",
                "ecr:GetDownloadUrlForLayer",
                "ecr:GetAuthorizationToken"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMGetOperations",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole"
            ],
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "IAMPassOperation",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "sagemaker.amazonaws.com"
                }
            }
        },
        {
            "Sid": "LoggingOperation",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
        },
        {
            "Sid": "S3Operations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:CreateBucket",
                "s3:GetBucketCors",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Sid": "ReadSageMakerJumpstartArtifacts",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
                "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
                "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
                "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
            ]
        },
        {
            "Sid": "S3ListOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GlueOperations",
            "Effect": "Allow",
            "Action": "glue:SearchTables",
            "Resource": [
                "arn:aws:glue:*:*:table/*/*",
                "arn:aws:glue:*:*:database/*",
                "arn:aws:glue:*:*:catalog"
            ]
        },
        {
            "Sid": "SecretsManagerARNBasedOperation",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:CreateSecret",
                "secretsmanager:PutResourcePolicy"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
            ]
        },
        {
            "Sid": "SecretManagerTagBasedOperation",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/SageMaker": "true"
                }
            }
        },
        {
            "Sid": "RedshiftOperations",
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement",
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement",
                "redshift-data:GetStatementResult",
                "redshift-data:ListSchemas",
                "redshift-data:ListTables",
                "redshift-data:DescribeTable"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RedshiftGetCredentialsOperation",
            "Effect": "Allow",
            "Action": [
                "redshift:GetClusterCredentials"
            ],
            "Resource": [
                "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
                "arn:aws:redshift:*:*:dbname:*"
            ]
        },
        {
            "Sid": "ForecastOperations",
            "Effect": "Allow",
            "Action": [
                "forecast:CreateExplainabilityExport",
                "forecast:CreateExplainability",
                "forecast:CreateForecastEndpoint",
                "forecast:CreateAutoPredictor",
                "forecast:CreateDatasetImportJob",
                "forecast:CreateDatasetGroup",
                "forecast:CreateDataset",
                "forecast:CreateForecast",
                "forecast:CreateForecastExportJob",
                "forecast:CreatePredictorBacktestExportJob",
                "forecast:CreatePredictor",
                "forecast:DescribeExplainabilityExport",
                "forecast:DescribeExplainability",
                "forecast:DescribeAutoPredictor",
                "forecast:DescribeForecastEndpoint",
                "forecast:DescribeDatasetImportJob",
                "forecast:DescribeDataset",
                "forecast:DescribeForecast",
                "forecast:DescribeForecastExportJob",
                "forecast:DescribePredictorBacktestExportJob",
                "forecast:GetAccuracyMetrics",
                "forecast:InvokeForecastEndpoint",
                "forecast:GetRecentForecastContext",
                "forecast:DescribePredictor",
                "forecast:TagResource",
                "forecast:DeleteResourceTree"
            ],
            "Resource": [
                "arn:aws:forecast:*:*:*Canvas*"
            ]
        },
        {
            "Sid": "RDSOperation",
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Sid": "IAMPassOperationForForecast",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "forecast.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AutoscalingOperations",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:RegisterScalableTarget"
            ],
            "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
            "Condition": {
                "StringEquals": {
                    "application-autoscaling:service-namespace": "sagemaker",
                    "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
                }
            }
        },
        {
            "Sid": "AsyncEndpointOperations",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms",
                "sagemaker:DescribeEndpointConfig"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeScalingOperations",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalingActivities"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "SageMakerCloudWatchUpdate",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DeleteAlarms"
            ],
            "Resource": [
                "arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AutoscalingSageMakerEndpointOperation",
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
                }
            }
        }
        {
            "Sid": "AthenaOperation",
            "Action": [
                "athena:ListTableMetadata",
                "athena:ListDataCatalogs",
                "athena:ListDatabases"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            },
        },
        {
            "Sid": "GlueOperation",
            "Action": [
                "glue:GetDatabases",
                "glue:GetPartitions",
                "glue:GetTables"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:glue:*:*:table/*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "QuicksightOperation",
            "Action": [
                "quicksight:ListNamespaces"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowUseOfKeyInAccount",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Source": "SageMakerCanvas",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessCreateApplicationOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:CreateApplication",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessListApplicationOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:ListApplications",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessApplicationOperations",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:UpdateApplication",
                "emr-serverless:StopApplication",
                "emr-serverless:GetApplication",
                "emr-serverless:StartApplication"
            ],
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessStartJobRunOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:StartJobRun",
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessListJobRunOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:ListJobRuns",
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessJobRunOperations",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:GetJobRun",
                "emr-serverless:CancelJobRun"
            ],
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessTagResourceOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:TagResource",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "IAMPassOperationForEMRServerless",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
                "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
            ],            
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

AWS 管理ポリシー: AmazonSageMakerCanvasDataPrepFullAccess

このポリシーは、Amazon SageMaker Canvas のデータ準備機能へのフルアクセスを許可するアクセス許可を付与します。また、このポリシーは、データ準備機能 [Amazon Simple Storage Service (Amazon S3)、 AWS Identity and Access Management ()、Amazon 、AmazonEMR、Amazon EventBridgeRedshift、 AWS Key Management Service (AWS KMS) などIAM] と統合されるサービスの最小特権のアクセス許可も提供します AWS Secrets Manager。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれています。

  • sagemaker – プリンシパルが処理ジョブ、トレーニングジョブ、推論パイプライン、AutoML ジョブ、特徴量グループにアクセスすることを許可します。

  • athena – プリンシパルが Amazon Athena からデータカタログ、データベース、テーブルメタデータのリストをクエリすることを許可します。

  • elasticmapreduce – プリンシパルが Amazon EMRクラスターを読み取って一覧表示できるようにします。

  • emr-serverless – プリンシパルが Amazon EMR Serverless アプリケーションとジョブ実行を作成および管理できるようにします。また、プリンシパルが SageMaker Canvas リソースにタグを付けることも許可します。

  • events – プリンシパルがスケジュールされたジョブの Amazon EventBridge ルールを作成、読み取り、更新、およびターゲットを追加できるようにします。

  • glue – プリンシパルが AWS Glue カタログ内のデータベースからテーブルを取得および検索できるようにします。

  • iam – プリンシパルが Amazon SageMaker AI、、 EventBridgeおよび Amazon EMR Serverless に IAMロールを渡すことを許可します。プリンシパルがサービスにリンクされたロールを作成することも許可します。

  • kms – プリンシパルがジョブとエンドポイントに保存されている AWS KMS エイリアスを取得し、関連するKMSキーにアクセスできるようにします。

  • logs — トレーニングジョブとエンドポイントのログを公開することをプリンシパルに許可します。

  • redshift - プリンシパルが Amazon Redshift データベースにアクセスするための認証情報を取得することを許可します。

  • redshift-data – プリンシパルが Amazon Redshift クエリを実行、キャンセル、説明、一覧表示、結果の取得を行うことを許可します。プリンシパルが Amazon Redshift スキーマとテーブルを一覧表示することも許可します。

  • s3 — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前にSageMaker「」、「Sagemaker」、「sagemaker」が含まれているオブジェクト、または大文字SageMakerと小文字を区別しない「」でタグ付けされているオブジェクトに限定されます。

  • secretsmanager – プリンシパルが Secrets Manager を使用して顧客データベース認証情報を保存および取得することを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerListFeatureGroupOperation",
            "Effect": "Allow",
            "Action": "sagemaker:ListFeatureGroups",
            "Resource": "*"
        },
        {
            "Sid": "SageMakerFeatureGroupOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateFeatureGroup",
                "sagemaker:DescribeFeatureGroup"
            ],
            "Resource": "arn:aws:sagemaker:*:*:feature-group/*"
        },
        {
            "Sid": "SageMakerProcessingJobOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateProcessingJob",
                "sagemaker:DescribeProcessingJob",
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
        },
        {
            "Sid": "SageMakerProcessingJobListOperation",
            "Effect": "Allow",
            "Action": "sagemaker:ListProcessingJobs",
            "Resource": "*"
        },
        {
            "Sid": "SageMakerPipelineOperations",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribePipeline",
                "sagemaker:CreatePipeline",
                "sagemaker:UpdatePipeline",
                "sagemaker:DeletePipeline",
                "sagemaker:StartPipelineExecution",
                "sagemaker:ListPipelineExecutionSteps",
                "sagemaker:DescribePipelineExecution"
            ],
            "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
        },
        {
            "Sid": "KMSListOperations",
            "Effect": "Allow",
            "Action": "kms:ListAliases",
            "Resource": "*"
        },
        {
            "Sid": "KMSOperations",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Sid": "S3Operations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetBucketCors",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "S3GetObjectOperation",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "S3ListOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "IAMListOperations",
            "Effect": "Allow",
            "Action": "iam:ListRoles",
            "Resource": "*"
        },
        {
            "Sid": "IAMGetOperations",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "IAMPassOperation",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "sagemaker.amazonaws.com",
                        "events.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "EventBridgePutOperation",
            "Effect": "Allow",
            "Action": [
                "events:PutRule"
            ],
            "Resource": "arn:aws:events:*:*:rule/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
                }
            }
        },
        {
            "Sid": "EventBridgeOperations",
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:PutTargets"
            ],
            "Resource": "arn:aws:events:*:*:rule/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
                }
            }
        },
        {
            "Sid": "EventBridgeTagBasedOperations",
            "Effect": "Allow",
            "Action": [
                "events:TagResource"
            ],
            "Resource": "arn:aws:events:*:*:rule/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
                    "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
                }
            }
        },
        {
            "Sid": "EventBridgeListTagOperation",
            "Effect": "Allow",
            "Action": "events:ListTagsForResource",
            "Resource": "*"
        },
        {
            "Sid": "GlueOperations",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabases",
                "glue:GetTable",
                "glue:GetTables",
                "glue:SearchTables"
            ],
            "Resource": [
                "arn:aws:glue:*:*:table/*",
                "arn:aws:glue:*:*:catalog",
                "arn:aws:glue:*:*:database/*"
            ]
        },
        {
            "Sid": "EMROperations",
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:ListInstanceGroups"
            ],
            "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
        },
        {
            "Sid": "EMRListOperation",
            "Effect": "Allow",
            "Action": "elasticmapreduce:ListClusters",
            "Resource": "*"
        },
        {
            "Sid": "AthenaListDataCatalogOperation",
            "Effect": "Allow",
            "Action": "athena:ListDataCatalogs",
            "Resource": "*"
        },
        {
            "Sid": "AthenaQueryExecutionOperations",
            "Effect": "Allow",
            "Action": [
                "athena:GetQueryExecution",
                "athena:GetQueryResults",
                "athena:StartQueryExecution",
                "athena:StopQueryExecution"
            ],
            "Resource": "arn:aws:athena:*:*:workgroup/*"
        },
        {
            "Sid": "AthenaDataCatalogOperations",
            "Effect": "Allow",
            "Action": [
                "athena:ListDatabases",
                "athena:ListTableMetadata"
            ],
            "Resource": "arn:aws:athena:*:*:datacatalog/*"
        },
        {
            "Sid": "RedshiftOperations",
            "Effect": "Allow",
            "Action": [
                "redshift-data:DescribeStatement",
                "redshift-data:CancelStatement",
                "redshift-data:GetStatementResult"
            ],
            "Resource": "*"
        },
        {
            "Sid": "RedshiftArnBasedOperations",
            "Effect": "Allow",
            "Action": [
                "redshift-data:ExecuteStatement",
                "redshift-data:ListSchemas",
                "redshift-data:ListTables"
            ],
            "Resource": "arn:aws:redshift:*:*:cluster:*"
        },
        {
            "Sid": "RedshiftGetCredentialsOperation",
            "Effect": "Allow",
            "Action": "redshift:GetClusterCredentials",
            "Resource": [
                "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
                "arn:aws:redshift:*:*:dbname:*"
            ]
        },
        {
            "Sid": "SecretsManagerARNBasedOperation",
            "Effect": "Allow",
            "Action": "secretsmanager:CreateSecret",
            "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
        },
        {
            "Sid": "SecretManagerTagBasedOperation",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/SageMaker": "true",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "RDSOperation",
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Sid": "LoggingOperation",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
        },
        {
            "Sid": "EMRServerlessCreateApplicationOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:CreateApplication",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessListApplicationOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:ListApplications",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessApplicationOperations",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:UpdateApplication",
                "emr-serverless:GetApplication"
            ],
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessStartJobRunOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:StartJobRun",
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessListJobRunOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:ListJobRuns",
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessJobRunOperations",
            "Effect": "Allow",
            "Action": [
                "emr-serverless:GetJobRun",
                "emr-serverless:CancelJobRun"
            ],
            "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "EMRServerlessTagResourceOperation",
            "Effect": "Allow",
            "Action": "emr-serverless:TagResource",
            "Resource": "arn:aws:emr-serverless:*:*:/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/sagemaker:is-canvas-resource": "True",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "IAMPassOperationForEMRServerless",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": [
                "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
                "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
            ],            
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "emr-serverless.amazonaws.com",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

AWS 管理ポリシー: AmazonSageMakerCanvasDirectDeployAccess

このポリシーは、Amazon Canvas が Amazon SageMaker AI SageMaker エンドポイントを作成および管理するために必要なアクセス許可を付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれています。

  • sagemaker – プリンシパルが「Canvas」または「canvas」で始まるARNリソース名で SageMaker AI エンドポイントを作成および管理できるようにします。

  • cloudwatch – プリンシパルが Amazon CloudWatch メトリクスデータを取得できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerEndpointPerms",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateEndpoint",
                "sagemaker:CreateEndpointConfig",
                "sagemaker:DeleteEndpoint",
                "sagemaker:DescribeEndpoint",
                "sagemaker:DescribeEndpointConfig",
                "sagemaker:InvokeEndpoint",
                "sagemaker:UpdateEndpoint"
            ],
            "Resource": [
                "arn:aws:sagemaker:*:*:Canvas*",
                "arn:aws:sagemaker:*:*:canvas*"
            ]
        },
        {
            "Sid": "ReadCWInvocationMetrics",
            "Effect": "Allow",
            "Action": "cloudwatch:GetMetricData",
            "Resource": "*"
        }
    ]
}

AWS 管理ポリシー: AmazonSageMakerCanvasAIServicesAccess

このポリシーは、Amazon SageMaker Canvas が Amazon Textract、Amazon Rekognition、Amazon Comprehend、および Amazon Bedrock を使用するためのアクセス許可を付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれています。

  • textract— Amazon Textract を使用して、画像内の文書、経費、ID を検出することをプリンシパルに許可します。

  • rekognition — Amazon Rekognition を使用して画像内のラベルとテキストを検出することをプリンシパルに許可します。

  • comprehend – プリンシパルが Amazon Comprehend を使用して、テキストドキュメント内の感情や主要言語、名前付きおよび個人を特定できる情報 (PII) エンティティを検出できるようにします。

  • bedrock — Amazon Bedrock を使用して基盤モデルを一覧表示したり呼び出したりすることをプリンシパルに許可します。

  • iam — プリンシパルが Amazon Bedrock に IAMロールを渡すことを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Textract",
            "Effect": "Allow",
            "Action": [
                "textract:AnalyzeDocument",
                "textract:AnalyzeExpense",
                "textract:AnalyzeID",
                "textract:StartDocumentAnalysis",
                "textract:StartExpenseAnalysis",
                "textract:GetDocumentAnalysis",
                "textract:GetExpenseAnalysis"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Rekognition",
            "Effect": "Allow",
            "Action": [
                "rekognition:DetectLabels",
                "rekognition:DetectText"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Comprehend",
            "Effect": "Allow",
            "Action": [
                "comprehend:BatchDetectDominantLanguage",
                "comprehend:BatchDetectEntities",
                "comprehend:BatchDetectSentiment",
                "comprehend:DetectPiiEntities",
                "comprehend:DetectEntities",
                "comprehend:DetectSentiment",
                "comprehend:DetectDominantLanguage"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Bedrock",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:ListFoundationModels",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateBedrockResourcesPermission",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelCustomizationJob",
                "bedrock:CreateProvisionedModelThroughput",
                "bedrock:TagResource"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:model-customization-job/*",
                "arn:aws:bedrock:*:*:custom-model/*",
                "arn:aws:bedrock:*:*:provisioned-model/*"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": [
                        "SageMaker",
                        "Canvas"
                    ]
                },
                "StringEquals": {
                    "aws:RequestTag/SageMaker": "true",
                    "aws:RequestTag/Canvas": "true",
                    "aws:ResourceTag/SageMaker": "true",
                    "aws:ResourceTag/Canvas": "true"
                }
            }
        },
        {
            "Sid": "GetStopAndDeleteBedrockResourcesPermission",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetModelCustomizationJob",
                "bedrock:GetCustomModel",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:StopModelCustomizationJob",
                "bedrock:DeleteProvisionedModelThroughput"
            ],
            "Resource": [
                "arn:aws:bedrock:*:*:model-customization-job/*",
                "arn:aws:bedrock:*:*:custom-model/*",
                "arn:aws:bedrock:*:*:provisioned-model/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/SageMaker": "true",
                    "aws:ResourceTag/Canvas": "true"
                }
            }
        },
        {
            "Sid": "FoundationModelPermission",
            "Effect": "Allow",
            "Action": [
                "bedrock:CreateModelCustomizationJob"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/*"
            ]
        },
        {
            "Sid": "BedrockFineTuningPassRole",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/*"
            ],
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "bedrock.amazonaws.com"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

AWS 管理ポリシー: AmazonSageMakerCanvasBedrockAccess

このポリシーは、Amazon Bedrock で Amazon SageMaker Canvas を使用するために一般的に必要なアクセス許可を付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれています。

  • s3 — プリンシパルが「sagemaker-*/Canvas」ディレクトリの Amazon S3 バケットにオブジェクトを追加したり取得したりすることを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3CanvasAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-*/Canvas",
                "arn:aws:s3:::sagemaker-*/Canvas/*"
            ]
        },
        {
            "Sid": "S3BucketAccess",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-*"
            ]
        }
    ]
}

AWS 管理ポリシー: AmazonSageMakerCanvasForecastAccess

このポリシーは、Amazon Forecast で Amazon SageMaker Canvas を使用するのに一般的に必要なアクセス許可を付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれています。

  • s3 — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前が「sagemaker-」で始まるものに限定されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-*/Canvas",
                "arn:aws:s3:::sagemaker-*/canvas"
            ]
        }
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::sagemaker-*"
            ]
        }
    ]
}

AWS 管理ポリシー: AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy

このポリシーは、Amazon SageMaker Canvas が大規模なデータ処理に使用する Amazon S3 などの AWS サービスのアクセス許可を Amazon EMR Serverless に付与します。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれています。

  • s3 — Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前にSageMaker「」または「sagemaker」が含まれているオブジェクト、または大文字SageMakerと小文字を区別しない「」でタグ付けされているオブジェクトに限定されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3Operations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetBucketCors",
                "s3:GetBucketLocation",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*sagemaker*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "S3GetObjectOperation",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                },
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "S3ListOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWS 管理ポリシー: AmazonSageMakerCanvasDataScienceAssistantAccess

このポリシーは、Amazon Canvas SageMaker のユーザーが Amazon Q Developer との会話を開始するためのアクセス許可を付与します。この機能には、Amazon Q Developer と SageMaker AI Data Science Assistant サービスの両方に対するアクセス許可が必要です。

アクセス許可の詳細

この AWS 管理ポリシーには、次のアクセス許可が含まれています。

  • q – プリンシパルが Amazon Q Developer にプロンプトを送信できるようにします。

  • sagemaker-data-science-assistant – プリンシパルが SageMaker Canvas Data Science Assistant サービスにプロンプトを送信できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SageMakerDataScienceAssistantAccess",
            "Effect": "Allow",
            "Action": [
                "sagemaker-data-science-assistant:SendConversation"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AmazonQDeveloperAccess",
            "Effect": "Allow",
            "Action": [
                "q:SendMessage"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

Amazon Canvas SageMaker 管理ポリシーに対する Amazon SageMaker AI の更新

SageMaker Canvas の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。

ポリシー バージョン 変更 日付

AmazonSageMakerCanvasDataScienceAssistantAccess – 新しいポリシー

1

初期ポリシー

 2024 年 12 月 4 日

AmazonSageMakerCanvasDataPrepFullAccess – 既存ポリシーへの更新

4

IAMPassOperationForEMRServerless アクセス許可にリソースを追加します。

 2024年8月16日

AmazonSageMakerCanvasFullAccess – 既存ポリシーへの更新

11

IAMPassOperationForEMRServerless アクセス許可にリソースを追加します。

 2024 年 8 月 15 日

AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy – 新しいポリシー

1

初期ポリシー

 2024 年 7 月 26 日

AmazonSageMakerCanvasDataPrepFullAccess – 既存ポリシーへの更新

3

emr-serverless:CreateApplicationemr-serverless:ListApplicationsemr-serverless:UpdateApplicationemr-serverless:GetApplicationemr-serverless:StartJobRunemr-serverless:ListJobRunsemr-serverless:GetJobRunemr-serverless:CancelJobRunemr-serverless:TagResource のアクセス許可を追加します。

 2024 年 7 月 18 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

10

application-autoscaling:DescribeScalingActivitiesiam:PassRolekms:DescribeKeyquicksight:ListNamespaces のアクセス許可を追加します。

sagemaker:CreateTrainingJobsagemaker:CreateTransformJobsagemaker:DescribeTrainingJobsagemaker:DescribeTransformJobsagemaker:StopAutoMLJobsagemaker:StopTrainingJobsagemaker:StopTransformJob のアクセス許可を追加します。

athena:ListTableMetadataathena:ListDataCatalogs、および athena:ListDatabases アクセス許可を追加します。

glue:GetDatabasesglue:GetPartitions、および glue:GetTables アクセス許可を追加します。

emr-serverless:CreateApplicationemr-serverless:ListApplicationsemr-serverless:UpdateApplicationemr-serverless:StopApplicationemr-serverless:GetApplicationemr-serverless:StartApplicationemr-serverless:StartJobRunemr-serverless:ListJobRunsemr-serverless:GetJobRunemr-serverless:CancelJobRunemr-serverless:TagResource のアクセス許可を追加します。

 2024 年 7 月 9 日

AmazonSageMakerCanvasBedrockAccess – 新しいポリシー

1

初期ポリシー

 2024 年 2 月 2 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

9

sagemaker:ListEndpoints アクセス許可を追加します。

 2024 年 1 月 24 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

8

sagemaker:UpdateEndpointWeightsAndCapacitiessagemaker:DescribeEndpointConfigsagemaker:InvokeEndpointAsyncathena:ListDataCatalogsathena:GetQueryExecutionathena:GetQueryResultsathena:StartQueryExecutionathena:StopQueryExecutionathena:ListDatabasescloudwatch:DescribeAlarmscloudwatch:PutMetricAlarmcloudwatch:DeleteAlarmsiam:CreateServiceLinkedRole のアクセス許可を追加します。

 2023 年 12 月 8 日

AmazonSageMakerCanvasDataPrepFullAccess – 既存ポリシーへの更新

2

以前のポリシーバージョン 1 の意図を強化するための小規模な更新です。アクセス許可の追加や削除はありません。

 2023 年 12 月 7 日

AmazonSageMakerCanvasAIServicesAccess – 既存ポリシーへの更新

3

bedrock:InvokeModelWithResponseStreambedrock:GetModelCustomizationJobbedrock:StopModelCustomizationJobbedrock:GetCustomModelbedrock:GetProvisionedModelThroughputbedrock:DeleteProvisionedModelThroughputbedrock:TagResourcebedrock:CreateModelCustomizationJobbedrock:CreateProvisionedModelThroughputiam:PassRole のアクセス許可を追加します。

 2023 年 11 月 29 日

AmazonSageMakerCanvasDataPrepFullAccess - 新しいポリシー

1

初期ポリシー

 2023 年 10 月 26 日

AmazonSageMakerCanvasDirectDeployAccess – 新しいポリシー

1

初期ポリシー

 2023 年 10 月 6 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

7

sagemaker:DeleteEndpointConfigsagemaker:DeleteModel、および sagemaker:InvokeEndpoint アクセス許可を追加します。また、特定のリージョンのリソースに対するs3:GetObject JumpStartアクセス許可を追加します。

 2023 年 9 月 29 日

AmazonSageMakerCanvasAIServicesAccess – 既存ポリシーへの更新

2

bedrock:InvokeModelbedrock:ListFoundationModels のアクセス許可を追加します。

 2023 年 9 月 29 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

6

rds:DescribeDBInstances アクセス許可を追加します。

 2023 年 8 月 29 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

5

application-autoscaling:PutScalingPolicyapplication-autoscaling:RegisterScalableTarget のアクセス許可を追加します。

 2023 年 7 月 24 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

4

sagemaker:CreateModelPackagesagemaker:CreateModelPackageGroupsagemaker:DescribeModelPackagesagemaker:DescribeModelPackageGroupsagemaker:ListModelPackagessagemaker:ListModelPackageGroups のアクセス許可を追加します。

 2023 年 5 月 4 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

3

sagemaker:CreateAutoMLJobV2sagemaker:DescribeAutoMLJobV2、および glue:SearchTables アクセス許可を追加します。

 2023 年 3 月 24 日

AmazonSageMakerCanvasAIServicesAccess – 新しいポリシー

1

初期ポリシー

 2023 年 3 月 23 日

AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新

2

forecast:DeleteResourceTree アクセス許可を追加します。

 2022 年 12 月 6 日

AmazonSageMakerCanvasFullAccess - 新しいポリシー

1

初期ポリシー

 2022 年 9 月 8 日

AmazonSageMakerCanvasForecastAccess – 新しいポリシー

1

初期ポリシー

 2022 年 8 月 24 日