翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon Canvas の SageMaker マネージドポリシー
これらの AWS 管理ポリシーは、Amazon Canvas SageMaker を使用するために必要なアクセス許可を追加します。ポリシーは AWS アカウントで使用でき、コンソールから SageMaker作成された実行ロールによって使用されます。
トピック
- AWS マネージドポリシー: AmazonSageMakerCanvasFullAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasDataPrepFullAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasDirectDeployAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasAIServicesAccess
- AWS 管理ポリシー: AmazonSageMakerCanvasBedrockAccess
- AWS マネージドポリシー: AmazonSageMakerCanvasForecastAccess
- Amazon Canvas SageMaker 管理ポリシーに対する Amazon SageMaker の更新
AWS マネージドポリシー: AmazonSageMakerCanvasFullAccess
このポリシーは、 AWS Management Console および SDK を介して Amazon Canvas SageMaker へのフルアクセスを許可するアクセス許可を付与します。このポリシーは、関連サービス [Amazon Simple Storage Service (Amazon S3)、 AWS Identity and Access Management (IAM)、Amazon Virtual Private Cloud (Amazon VPC)、Amazon Elastic Container Registry (Amazon ECR)、Amazon CloudWatch Logs、Amazon Redshift AWS Secrets Manager、、Amazon SageMaker Autopilot、 SageMaker Model Registry、Amazon Forecast など] への選択アクセスも提供します。
このポリシーは、お客様が Canvas SageMaker のすべての機能を試して使用を開始するのに役立つことを目的としています。よりきめ細かい制御を行うには、お客様が本番環境のワークロードに移行する際に、範囲を絞った独自のバージョンを構築することをお勧めします。詳細については、「IAM policy types: How and when to use them
アクセス許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
sagemaker— プリンシパルが、ARN に「Canvas」、「canvas」、または「model-compilation-」が含まれているリソースでモデルを作成およびホスト SageMakerできるようにします。さらに、ユーザーは同じ AWS アカウントのモデルレジストリに SageMaker SageMaker Canvas モデルを登録できます。 -
ec2— Amazon VPC エンドポイントを作成することをプリンシパルに許可します。 -
ecr— コンテナイメージに関する情報を取得することをプリンシパルに許可します。 -
glue— カタログ内のテーブルを取得できるようプリンシパルに許可します。 -
iam— プリンシパルが Amazon および Amazon SageMaker Forecast に IAM ロールを渡すことを許可します。また、プリンシパルがサービスにリンクされたロールを作成できるようにします。 -
logs— トレーニングジョブとエンドポイントのログを公開することをプリンシパルに許可します。 -
s3— Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前にSageMaker「」、「Sagemaker」、または「Sagemaker」が含まれるオブジェクトに限定されます。また、特定のリージョンの ARN が "jumpstart-cache-prod-" で始まる Amazon S3 バケットからオブジェクトを取得することをプリンシパルに許可します。 -
secretsmanager— Secrets Manager を使用して Snowflake データベースに接続するための顧客認証情報を保存することをプリンシパルに許可します。 -
redshift— 任意の Amazon Redshift クラスターで "sagemaker_access*" DBUser の認証情報を取得することをプリンシパルに許可します(そのユーザーが存在する場合)。 -
redshift-data— Amazon Redshift Data API を使って Amazon Redshift でクエリを実行することをプリンシパルに許可します。これにより、Redshift データ API 自体へのアクセスのみが提供され、Amazon Redshift クラスターへの直接アクセスは提供されません。詳細については、「Using the Amazon Redshift Data API」 (Amazon Redshift Data API の使用) を参照してください。 -
forecast— Amazon Forecast を使用することをプリンシパルに許可します。 -
application-autoscaling— プリンシパル SageMaker が推論エンドポイントを自動的にスケーリングできるようにします。 -
rds- プロビジョニングされた Amazon RDS インスタンスに関する情報を返すことをプリンシパルに許可します。 -
cloudwatch— プリンシパルが Amazon CloudWatch アラームを作成および管理できるようにします。 -
athena– プリンシパルが Amazon Athena クエリ、カタログ、実行を作成、読み取り、管理できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasDataPrepFullAccess
このポリシーは、Amazon SageMaker Canvas のデータ準備機能へのフルアクセスを許可するアクセス許可を付与します。また、このポリシーは、データ準備機能 [Amazon Simple Storage Service (Amazon S3)、 AWS Identity and Access Management (IAM)、Amazon EMR、Amazon 、Amazon Redshift EventBridge、 AWS Key Management Service (AWS KMS)、および など] と統合するサービスの最小特権のアクセス許可も提供します AWS Secrets Manager。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
sagemaker– プリンシパルが処理ジョブ、トレーニングジョブ、推論パイプライン、AutoML ジョブ、特徴量グループにアクセスできるようにします。 -
athena— プリンシパルが Amazon Athena からデータカタログ、データベース、およびテーブルメタデータのリストをクエリできるようにします。 -
elasticmapreduce— プリンシパルが Amazon EMR クラスターを読み取って一覧表示できるようにします。 -
events– プリンシパルがスケジュールされたジョブの Amazon EventBridge ルールを作成、読み取り、更新、および追加できるようにします。 -
glue— プリンシパルが AWS Glue カタログ内のデータベースからテーブルを取得および検索できるようにします。 -
iam— プリンシパルが IAM ロールを Amazon SageMaker および に渡すことを許可します EventBridge。 -
kms– プリンシパルがジョブとエンドポイントに保存されているエイ AWS KMS リアスを取得し、関連付けられた KMS キーにアクセスできるようにします。 -
logs— トレーニングジョブとエンドポイントのログを公開することをプリンシパルに許可します。 -
redshift— プリンシパルが Amazon Redshift データベースにアクセスするための認証情報を取得できるようにします。 -
redshift-data– プリンシパルが Amazon Redshift クエリの実行、キャンセル、説明、一覧表示、結果の取得を行うことを許可します。また、プリンシパルが Amazon Redshift スキーマとテーブルを一覧表示できるようにします。 -
s3— Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前にSageMaker「」、「Sagemaker」、または「Sagemaker」が含まれているオブジェクト、または「」でタグ付けされているオブジェクトに限定されSageMaker、大文字と小文字は区別されません。 -
secretsmanager— Secrets Manager を使用して、プリンシパルがカスタマーデータベース認証情報を保存および取得できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasDirectDeployAccess
このポリシーは、Amazon Canvas が Amazon SageMaker SageMaker エンドポイントを作成および管理するために必要なアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
sagemaker– プリンシパルが「Canvas」または「canvas」で始まる ARN リソース名を持つエンドポイントを作成および管理 SageMakerできるようにします。 -
cloudwatch— プリンシパルが Amazon CloudWatch メトリクスデータを取得できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasAIServicesAccess
このポリシーは、Amazon Canvas SageMaker が Amazon Textract、Amazon RekognitionAmazon Comprehend、および Amazon Bedrock を使用するためのアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
textract— Amazon Textract を使用して、画像内の文書、経費、ID を検出することをプリンシパルに許可します。 -
rekognition— Amazon Rekognition を使用して画像内のラベルとテキストを検出することをプリンシパルに許可します。 -
comprehend— Amazon Comprehend を使用して、テキストドキュメント内の感情や主要言語、名前付きエンティティと個人を特定できる情報 (PII) エンティティを検出することをプリンシパルに許可します。 -
bedrock— Amazon Bedrock を使用して基盤モデルを一覧表示したり呼び出したりすることをプリンシパルに許可します。 -
iam— プリンシパルが Amazon Bedrock に IAM ロールを渡すことを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS 管理ポリシー: AmazonSageMakerCanvasBedrockAccess
このポリシーは、Amazon Bedrock で Amazon Canvas SageMaker を使用するのに一般的に必要なアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
s3— プリンシパルが「sagemaker-*/Canvas」ディレクトリの Amazon S3 バケットからオブジェクトを追加および取得できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS マネージドポリシー: AmazonSageMakerCanvasForecastAccess
このポリシーは、Amazon Canvas を Amazon Forecast SageMaker で使用するのに一般的に必要なアクセス許可を付与します。
許可の詳細
この AWS 管理ポリシーには、次のアクセス許可が含まれます。
-
s3— Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前が「sagemaker-」で始まるオブジェクトに限定されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
Amazon Canvas SageMaker 管理ポリシーに対する Amazon SageMaker の更新
SageMaker Canvas の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。
| ポリシー | Version | 変更 | 日付 |
|---|---|---|---|
|
AmazonSageMakerCanvasBedrockAccess – 新しいポリシー |
1 |
初期ポリシー |
2024 年 2 月 21 日 |
|
AmazonSageMakerCanvasFullAccess – 既存ポリシーへの更新 |
9 |
|
2024 年 1 月 24 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
8 |
|
2023 年 12 月 8 日 |
|
AmazonSageMakerCanvasDataPrepFullAccess – 既存ポリシーへの更新 |
2 |
以前のポリシーバージョン 1 のインテントを適用するための小さな更新。アクセス許可の追加または削除はありません。 |
2023 年 12 月 7 日 |
|
AmazonSageMakerCanvasAIServicesAccess – 既存ポリシーへの更新 |
3 |
|
2023 年 11 月 29 日 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 新しいポリシー |
1 |
初期ポリシー |
2023 年 10 月 26 日 |
|
AmazonSageMakerCanvasDirectDeployアクセス – 新しいポリシー |
1 |
初期ポリシー |
2023 年 10 月 6 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
7 |
|
2023 年 9 月 29 日 |
|
AmazonSageMakerCanvasAI ServicesAccess - 既存のポリシーの更新 |
2 |
|
2023 年 9 月 29 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
6 |
|
2023 年 8 月 29 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
5 |
|
2023 年 7 月 24 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
4 |
|
2023 年 5 月 4 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
3 |
|
2023 年 3 月 24 日 |
|
AmazonSageMakerCanvasAI ServicesAccess - 新しいポリシー |
1 |
初期ポリシー |
2023 年 3 月 23 日 |
AmazonSageMakerCanvasFullAccess - 既存のポリシーの更新 |
2 |
|
2022 年 12 月 6 日 |
AmazonSageMakerCanvasFullAccess - 新しいポリシー |
1 |
初期ポリシー |
2022 年 9 月 8 日 |
|
AmazonSageMakerCanvasForecastAccess – 新しいポリシー |
1 |
初期ポリシー |
2022 年 8 月 24 日 |
