Amazon SageMaker Ground Truth の AWS マネージドポリシー
これらの AWS マネージドポリシーは、SageMaker Ground Truth の使用に必要なアクセス許可を追加します。ポリシーは AWS アカウントで使用でき、SageMaker コンソールで作成された実行ロールによって使用されます。
トピック
AWS マネージドポリシー: AmazonSageMakerGroundTruthExecution
この AWS マネージドポリシーは、SageMaker Ground Truth を使用するために一般的に必要とされるアクセス許可を付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
lambda— 名前に「sagemaker」 (大文字と小文字を区別しない)、「gtRecipe」、または「LabelingFunction」を含む Lambda 関数を呼び出すことをプリンシパルに許可します。 -
s3— Amazon S3 バケットに対するオブジェクトの追加と取得をプリンシパルに許可します。これらのオブジェクトは、名前に「groundtruth」または「sagemaker」 (大文字と小文字を区別しない) が含まれているか、「SageMaker」のタグが付いたものに限定されます。 -
cloudwatch— Cloud Watch メトリクスの投稿をプリンシパルに許可します。 -
logs– ログストリームの作成とアクセス、ログイベントの投稿をプリンシパルに許可します。 -
sqs— Amazon SQS キューの作成と Amazon SQS メッセージの送受信をプリンシパルに許可します。これらのアクセス許可は、名前に「GroundTruth」が含まれているキューに限定されます。 -
sns— 名前に「groundtruth」または「sagemaker」 (大文字と小文字を区別しない) が含まれている Amazon SNS トピックに対するサブスクリプションとメッセージの発行をプリンシパルに許可します。 -
ec2— VPC エンドポイントサービス名に「sagemaker-task-resources」または「labeling」が含まれている Amazon VPC エンドポイントを作成、説明、削除することをプリンシパルに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CustomLabelingJobs", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*GtRecipe*", "arn:aws:lambda:*:*:function:*LabelingFunction*", "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::*GroundTruth*", "arn:aws:s3:::*Groundtruth*", "arn:aws:s3:::*groundtruth*", "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": "*" }, { "Sid": "CloudWatch", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData", "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "*" }, { "Sid": "StreamingQueue", "Effect": "Allow", "Action": [ "sqs:CreateQueue", "sqs:DeleteMessage", "sqs:GetQueueAttributes", "sqs:GetQueueUrl", "sqs:ReceiveMessage", "sqs:SendMessage", "sqs:SetQueueAttributes" ], "Resource": "arn:aws:sqs:*:*:*GroundTruth*" }, { "Sid": "StreamingTopicSubscribe", "Effect": "Allow", "Action": "sns:Subscribe", "Resource": [ "arn:aws:sns:*:*:*GroundTruth*", "arn:aws:sns:*:*:*Groundtruth*", "arn:aws:sns:*:*:*groundTruth*", "arn:aws:sns:*:*:*groundtruth*", "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sageMaker*", "arn:aws:sns:*:*:*sagemaker*" ], "Condition": { "StringEquals": { "sns:Protocol": "sqs" }, "StringLike": { "sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*" } } }, { "Sid": "StreamingTopic", "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*GroundTruth*", "arn:aws:sns:*:*:*Groundtruth*", "arn:aws:sns:*:*:*groundTruth*", "arn:aws:sns:*:*:*groundtruth*", "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sageMaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "StreamingTopicUnsubscribe", "Effect": "Allow", "Action": [ "sns:Unsubscribe" ], "Resource": "*" }, { "Sid": "WorkforceVPC", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "ec2:VpceServiceName": [ "*sagemaker-task-resources*", "aws.sagemaker*labeling*" ] } } } ] }
Amazon SageMaker による SageMaker Ground Truth マネージドポリシーの更新
Amazon SageMaker Ground Truth の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。
| ポリシー | Version | 変更 | 日付 |
|---|---|---|---|
|
AmazonSageMakerGroundTruthExecution – 既存ポリシーへの更新 |
3 |
|
2022 年 4 月 29 日 |
AmazonSageMakerGroundTruthExecution - 既存ポリシーの更新 |
2 |
|
2022 年 4 月 11 日 |
AmazonSageMakerGroundTruthExecution - 新規ポリシー |
1 |
初期ポリシー |
2020 年 7 月 20 日 |
