翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon SageMaker Canvas の マネージドポリシー
これらの AWS 管理ポリシーは、Amazon SageMaker Canvas を使用するために必要なアクセス許可を追加します。ポリシーは AWS アカウントで利用でき、コンソールから SageMaker作成された実行ロールによって使用されます。
トピック
- AWS マネージドポリシー: AmazonSageMakerCanvasFullAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasDataPrepFullAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasDirectDeployAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasAIServicesAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasBedrockAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasForecastAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy
- Amazon SageMaker Canvas 管理ポリシーへの Amazon SageMaker 更新
AWS マネージドポリシー: AmazonSageMakerCanvasFullAccess
このポリシーは、 AWS Management Console および を通じて Amazon SageMaker Canvas へのフルアクセスを許可するアクセス許可を付与しますSDK。このポリシーでは、関連サービス [Amazon Simple Storage Service (Amazon S3)、 AWS Identity and Access Management (IAM)、Amazon Virtual Private Cloud (Amazon VPC)、Amazon Elastic Container Registry (Amazon ECR)、Amazon CloudWatch Logs、Amazon Redshift AWS Secrets Manager、Amazon SageMaker Autopilot、 SageMaker Model Registry、Amazon Forecast など] へのアクセスも選択できます。
このポリシーは、お客様が SageMaker Canvas のすべての機能を試し、使用を開始するのに役立つことを目的としています。よりきめ細かい制御を行うには、お客様が本番環境のワークロードに移行する際に、範囲を絞った独自のバージョンを構築することをお勧めします。詳細については、IAM「ポリシータイプ: それらを使用する方法とタイミング
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
sagemaker– プリンシパルが「Canvas」、「canvas」、または「model-compilation-ARN」を含むリソースでモデルを作成およびホスト SageMakerできるようにします。さらに、ユーザーは同じ AWS アカウントのモデルレジストリに SageMaker SageMaker Canvas モデルを登録できます。また、プリンシパルが SageMaker トレーニング、変換、AutoML ジョブを作成および管理できるようにします。 -
application-autoscaling– プリンシパルが SageMaker 推論エンドポイントを自動的にスケーリングできるようにします。 -
athena– プリンシパルが Amazon Athena からデータカタログ、データベース、テーブルメタデータのリストをクエリし、カタログ内のテーブルにアクセスできるようにします。 -
cloudwatch– プリンシパルが Amazon CloudWatch アラームを作成および管理できるようにします。 -
ec2– プリンシパルが Amazon VPCエンドポイントを作成できるようにします。 -
ecr— コンテナイメージに関する情報を取得することをプリンシパルに許可します。 -
emr-serverless– プリンシパルが Amazon EMR Serverless アプリケーションとジョブの実行を作成および管理できるようにします。また、プリンシパルが SageMaker Canvas リソースにタグを付けることも許可します。 -
forecast— Amazon Forecast を使用することをプリンシパルに許可します。 -
glue– プリンシパルが AWS Glue カタログ内のテーブル、データベース、パーティションを取得できるようにします。 -
iam– プリンシパルが Amazon 、Amazon Forecast SageMaker、Amazon EMR Serverless にIAMロールを渡すことを許可します。また、プリンシパルがサービスにリンクされたロールを作成できるようにします。 -
kms– プリンシパルが でタグ付けされた AWS KMS キーを読み取ることを許可しますSource:SageMakerCanvas。 -
logs— トレーニングジョブとエンドポイントのログを公開することをプリンシパルに許可します。 -
quicksight– プリンシパルが Amazon QuickSight アカウントの名前空間を一覧表示できるようにします。 -
rds– プリンシパルがプロビジョニングされた Amazon RDSインスタンスに関する情報を返すのを許可します。 -
redshift— 任意の Amazon Redshift クラスターで "sagemaker_access*" DBUser の認証情報を取得することをプリンシパルに許可します(そのユーザーが存在する場合)。 -
redshift-data– Amazon Redshift データ を使用して、プリンシパルが Amazon Redshift でクエリを実行できるようにしますAPI。これにより、Redshift データAPIs自体へのアクセスのみが可能になり、Amazon Redshift クラスターへのアクセスは直接提供されません。詳細については、「Amazon Redshift データの使用API」を参照してください。 -
s3— Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前に「SagemakerSageMaker」、「Sagemaker」、または「sagemaker」が含まれるオブジェクトに限定されます。また、プリンシパルが特定のリージョンでjumpstart-cache-prod「-」でARN始まる Amazon S3 バケットからオブジェクトを取得できるようにします。 -
secretsmanager— Secrets Manager を使用して Snowflake データベースに接続するための顧客認証情報を保存することをプリンシパルに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasDataPrepFullAccess
このポリシーは、Amazon SageMaker Canvas のデータ準備機能へのフルアクセスを許可するアクセス許可を付与します。また、このポリシーは、データ準備機能 [Amazon Simple Storage Service (Amazon S3)、 AWS Identity and Access Management ()、Amazon 、Amazon EMR、Amazon EventBridgeRedshift、 AWS Key Management Service (AWS KMS) および などIAM] と統合するサービスの最小特権アクセス許可も提供します AWS Secrets Manager。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
sagemaker– プリンシパルが処理ジョブ、トレーニングジョブ、推論パイプライン、AutoML ジョブ、および機能グループにアクセスできるようにします。 -
athena– プリンシパルが Amazon Athena からデータカタログ、データベース、テーブルメタデータのリストをクエリできるようにします。 -
elasticmapreduce– プリンシパルが Amazon EMRクラスターを読み取って一覧表示できるようにします。 -
emr-serverless– プリンシパルが Amazon EMR Serverless アプリケーションとジョブの実行を作成および管理できるようにします。また、プリンシパルが SageMaker Canvas リソースにタグを付けることも許可します。 -
events– プリンシパルがスケジュールされたジョブの Amazon EventBridge ルールにターゲットを作成、読み取り、更新、追加できるようにします。 -
glue– プリンシパルが AWS Glue カタログ内のデータベースからテーブルを取得および検索できるようにします。 -
iam– プリンシパルが Amazon SageMaker、、 EventBridgeおよび Amazon EMR Serverless にIAMロールを渡すことを許可します。また、プリンシパルがサービスにリンクされたロールを作成できるようにします。 -
kms– プリンシパルがジョブとエンドポイントに保存されている AWS KMS エイリアスを取得し、関連付けられたKMSキーにアクセスできるようにします。 -
logs— トレーニングジョブとエンドポイントのログを公開することをプリンシパルに許可します。 -
redshift– プリンシパルが Amazon Redshift データベースにアクセスするための認証情報を取得できるようにします。 -
redshift-data– プリンシパルが Amazon Redshift クエリを実行、キャンセル、説明、一覧表示、および結果を取得できるようにします。また、プリンシパルが Amazon Redshift スキーマとテーブルを一覧表示することを許可します。 -
s3— Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前にSageMaker「」、「Sagemaker」、または「sagemaker」が含まれているもの、またはSageMaker「」でタグ付けされているものに限定され、大文字と小文字は区別されません。 -
secretsmanager– Secrets Manager を使用して、プリンシパルがカスタマーデータベース認証情報を保存および取得できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasDirectDeployAccess
このポリシーは、Amazon SageMaker Canvas が Amazon SageMaker エンドポイントを作成および管理するために必要なアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
sagemaker– プリンシパルが「Canvas」または「canvas」で始まるARNリソース名でエンドポイントを作成および管理 SageMakerできるようにします。 -
cloudwatch– プリンシパルが Amazon CloudWatch メトリクスデータを取得できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasAIServicesAccess
このポリシーは、Amazon SageMaker Canvas が Amazon Textract、Amazon Rekognition 、Amazon Comprehend 、および Amazon Bedrock を使用するアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
textract— Amazon Textract を使用して、画像内の文書、経費、ID を検出することをプリンシパルに許可します。 -
rekognition— Amazon Rekognition を使用して画像内のラベルとテキストを検出することをプリンシパルに許可します。 -
comprehend– プリンシパルが Amazon Comprehend を使用して、テキストドキュメント内の感情と主要言語、および名前付きで個人を特定できる情報 (PII) エンティティを検出できるようにします。 -
bedrock— Amazon Bedrock を使用して基盤モデルを一覧表示したり呼び出したりすることをプリンシパルに許可します。 -
iam– プリンシパルが Amazon Bedrock にIAMロールを渡すことを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasBedrockAccess
このポリシーは、Amazon Bedrock で Amazon SageMaker Canvas を使用するのに一般的に必要なアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
s3– プリンシパルが「sagemaker-*/Canvas」ディレクトリの Amazon S3 バケットからオブジェクトを追加および取得できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasForecastAccess
このポリシーは、Amazon Canvas を Amazon Forecast SageMaker で使用するのに一般的に必要なアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
s3— Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前が「sagemaker-」で始まるオブジェクトに限定されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy
このポリシーは、Amazon SageMaker Canvas が大規模なデータ処理に使用する Amazon S3 などの AWS サービスの Amazon EMR Serverless にアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
s3— Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前にSageMaker「」または「sagemaker」が含まれているもの、または大文字と小文字を区別しないSageMaker「」でタグ付けされているものに限定されます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Amazon SageMaker Canvas 管理ポリシーへの Amazon SageMaker 更新
このサービスがこれらの変更の追跡を開始してからの SageMaker Canvas の AWS マネージドポリシーの更新に関する詳細を表示します。
| ポリシー | Version | 変更 | 日付 |
|---|---|---|---|
|
AmazonSageMakerCanvasDataPrepFullAccess – 既存ポリシーへの更新 |
4 |
アクセス |
2024 年 8 月 16 日 |
|
AmazonSageMakerCanvasFullAccess – 既存ポリシーへの更新 |
11 |
アクセス |
2024 年 8 月 15 日 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy – 新しいポリシー |
1 |
初期ポリシー |
2024 年 7 月 26 日 |
|
AmazonSageMakerCanvasDataPrepFullAccess – 既存ポリシーへの更新 |
3 |
|
2024 年 7 月 18 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
10 |
|
2024 年 7 月 9 日 |
|
AmazonSageMakerCanvasBedrockAccess – 新しいポリシー |
1 |
初期ポリシー |
2024 年 2 月 21 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
9 |
|
2024 年 1 月 24 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
8 |
|
2023 年 12 月 8 日 |
|
AmazonSageMakerCanvasDataPrepFullAccess – 既存ポリシーへの更新 |
2 |
以前のポリシーバージョン 1 のインテントを適用するための小さな更新。アクセス許可の追加または削除はありません。 |
2023 年 12 月 7 日 |
|
AmazonSageMakerCanvasAIServicesAccess – 既存ポリシーへの更新 |
3 |
|
2023 年 11 月 29 日 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 新しいポリシー |
1 |
初期ポリシー |
2023 年 10 月 26 日 |
|
AmazonSageMakerCanvasDirectDeployAccess – 新しいポリシー |
1 |
初期ポリシー |
2023 年 10 月 6 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
7 |
|
2023 年 9 月 29 日 |
|
AmazonSageMakerCanvasAIServicesAccess – 既存ポリシーへの更新 |
2 |
|
2023 年 9 月 29 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
6 |
|
2023 年 8 月 29 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
5 |
|
2023 年 7 月 24 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
4 |
|
2023 年 5 月 4 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
3 |
|
2023 年 3 月 24 日 |
|
AmazonSageMakerCanvasAIServicesAccess - 新しいポリシー |
1 |
初期ポリシー |
2023 年 3 月 23 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
2 |
|
2022 年 12 月 6 日 |
AmazonSageMakerCanvasFullAccess - 新しいポリシー |
1 |
初期ポリシー |
2022 年 9 月 8 日 |
|
AmazonSageMakerCanvasForecastAccess – 新しいポリシー |
1 |
初期ポリシー |
2022 年 8 月 24 日 |
