기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Amazon SageMaker Canvas에 대한 관리형 정책
이러한 AWS 관리형 정책은 Amazon SageMaker Canvas를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 콘솔에서 SageMaker 생성된 실행 역할에서 사용됩니다.
주제
- AWS 관리형 정책: AmazonSageMakerCanvasFullAccess
- AWS 관리형 정책: AmazonSageMakerCanvasDataPrepFullAccess
- AWS 관리형 정책: AmazonSageMakerCanvasDirectDeployAccess
- AWS 관리형 정책: AmazonSageMakerCanvasAIServicesAccess
- AWS 관리형 정책: AmazonSageMakerCanvasBedrockAccess
- AWS 관리형 정책: AmazonSageMakerCanvasForecastAccess
- AWS 관리형 정책: AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy
- Amazon SageMaker Canvas 관리형 정책에 대한 Amazon SageMaker 업데이트
AWS 관리형 정책: AmazonSageMakerCanvasFullAccess
이 정책은 AWS Management Console 및 를 통해 Amazon SageMaker Canvas에 대한 전체 액세스를 허용하는 권한을 부여합니다SDK. 또한 이 정책은 관련 서비스[예: Amazon Simple Storage Service(Amazon S3), AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud(Amazon VPC), Amazon Elastic Container Registry(Amazon ECR), Amazon CloudWatch Logs, Amazon Redshift, AWS Secrets Manager Amazon SageMaker Autopilot, SageMaker Model Registry 및 Amazon Forecast]에 대한 선택적 액세스를 제공합니다.
이 정책은 고객이 SageMaker Canvas의 모든 기능을 실험하고 시작할 수 있도록 돕기 위한 것입니다. 보다 세밀한 제어를 위해 고객이 프로덕션 워크로드로 이동할 때 자체적으로 범위가 축소된 버전을 빌드하는 것이 좋습니다. 자세한 내용은 IAM 정책 유형: 사용 방법 및 시기를 참조하세요
권한 세부 정보
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
sagemaker- 보안 주체가 “Canvas”, “canvas” 또는 “model-compilation”이 ARN 포함된 리소스에서 모델을 생성하고 호스팅 SageMaker할 수 있습니다. 또한 사용자는 SageMaker Canvas 모델을 동일한 AWS 계정의 SageMaker 모델 레지스트리에 등록할 수 있습니다. 또한 보안 주체가 SageMaker 훈련, 변환 및 AutoML 작업을 생성하고 관리할 수 있습니다. -
application-autoscaling- 보안 주체가 SageMaker 추론 엔드포인트를 자동으로 확장할 수 있도록 허용합니다. -
athena- 보안 주체가 Amazon Athena 에서 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리하고 카탈로그의 테이블에 액세스할 수 있습니다. -
cloudwatch- 보안 주체가 Amazon CloudWatch 경보를 생성하고 관리할 수 있도록 허용합니다. -
ec2- 보안 주체가 Amazon VPC 엔드포인트를 생성할 수 있도록 허용합니다. -
ecr- 보안 주체가 컨테이너 이미지에 대한 정보를 가져올 수 있도록 허용합니다. -
emr-serverless- 보안 주체가 Amazon EMR Serverless 애플리케이션 및 작업 실행을 생성하고 관리할 수 있습니다. 또한 보안 주체가 SageMaker Canvas 리소스에 태그를 지정할 수 있습니다. -
forecast- 보안 주체가 Amazon Forecast를 사용할 수 있도록 허용합니다. -
glue- 보안 주체가 AWS Glue 카탈로그에서 테이블, 데이터베이스 및 파티션을 검색할 수 있도록 허용합니다. -
iam- 보안 주체가 Amazon SageMaker, Amazon Forecast 및 Amazon EMR Serverless에 IAM 역할을 전달할 수 있습니다. 또한 보안 주체가 서비스 연결 역할을 생성할 수 있도록 허용합니다. -
kms- 보안 주체가 로 태그가 지정된 AWS KMS 키를 읽을 수 있도록 허용합니다Source:SageMakerCanvas. -
logs- 보안 주체가 훈련 작업 및 엔드포인트의 로그를 게시할 수 있도록 허용합니다. -
quicksight- 보안 주체가 Amazon QuickSight 계정의 네임스페이스를 나열할 수 있도록 허용합니다. -
rds- 보안 주체가 프로비저닝된 Amazon RDS 인스턴스에 대한 정보를 반환할 수 있습니다. -
redshift- 보안 주체가 모든 Amazon Redshift 클러스터의 “sagemaker_access*” dbuser에 대한 자격 증명을 얻을 수 있도록 허용합니다(해당 사용자가 있는 경우). -
redshift-data– 보안 주체가 Amazon Redshift 데이터 를 사용하여 Amazon Redshift에서 쿼리를 실행할 수 있습니다API. 이렇게 하면 Redshift 데이터 APIs 자체에만 액세스할 수 있으며 Amazon Redshift 클러스터에 직접 액세스할 수는 없습니다. 자세한 내용은 Amazon Redshift 데이터 사용을 참조하세요API. -
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름이 “”, “SagemakerSageMaker” 또는 “sagemaker”인 객체로 제한됩니다. 또한 보안 주체가 특정 리전에서 “jumpstart-cache-prod-”로 ARN 시작하는 Amazon S3 버킷에서 객체를 검색할 수 있습니다. -
secretsmanager- 보안 주체가 Secrets Manager를 사용하여 고객 자격 증명을 저장하여 Snowflake 데이터베이스에 연결할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS 관리형 정책: AmazonSageMakerCanvasDataPrepFullAccess
이 정책은 Amazon SageMaker Canvas의 데이터 준비 기능에 대한 전체 액세스를 허용하는 권한을 부여합니다. 또한 이 정책은 데이터 준비 기능과 통합되는 서비스[예: Amazon Simple Storage Service(Amazon S3), AWS Identity and Access Management (IAM), Amazon , Amazon EMR, Amazon EventBridgeRedshift, AWS Key Management Service (AWS KMS) 및 AWS Secrets Manager]에 대한 최소 권한 권한을 제공합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
sagemaker– 보안 주체가 처리 작업, 훈련 작업, 추론 파이프라인, AutoML 작업 및 기능 그룹에 액세스할 수 있도록 허용합니다. -
athena– 보안 주체가 Amazon Athena 에서 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리할 수 있습니다. -
elasticmapreduce- 보안 주체가 Amazon EMR 클러스터를 읽고 나열할 수 있습니다. -
emr-serverless- 보안 주체가 Amazon EMR Serverless 애플리케이션 및 작업 실행을 생성하고 관리할 수 있습니다. 또한 보안 주체가 SageMaker Canvas 리소스에 태그를 지정할 수 있습니다. -
events- 보안 주체가 예약된 작업에 대한 Amazon EventBridge 규칙을 생성, 읽기, 업데이트 및 추가할 수 있습니다. -
glue- 보안 주체가 AWS Glue 카탈로그의 데이터베이스에서 테이블을 가져오고 검색할 수 있습니다. -
iam- 보안 주체가 Amazon SageMaker, EventBridge및 Amazon EMR Serverless에 IAM 역할을 전달할 수 있습니다. 또한 보안 주체가 서비스 연결 역할을 생성할 수 있습니다. -
kms- 보안 주체가 작업 및 엔드포인트에 저장된 AWS KMS 별칭을 검색하고 연결된 KMS 키에 액세스할 수 있습니다. -
logs- 보안 주체가 훈련 작업 및 엔드포인트의 로그를 게시할 수 있도록 허용합니다. -
redshift- 보안 주체가 Amazon Redshift 데이터베이스에 액세스할 수 있는 보안 인증을 가져올 수 있도록 허용합니다. -
redshift-data- 보안 주체가 Amazon Redshift 쿼리를 실행, 취소, 설명, 나열하고 결과를 가져올 수 있습니다. 또한 보안 주체가 Amazon Redshift 스키마 및 테이블을 나열할 수 있습니다. -
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름에 “SageMaker”, “Sagemaker” 또는 “sagemaker”가 포함되거나 “SageMaker”로 태그가 지정되고 대/소문자를 구분하지 않는 객체로 제한됩니다. -
secretsmanager- 보안 주체가 Secrets Manager를 사용하여 고객 데이터베이스 보안 인증을 저장하고 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS 관리형 정책: AmazonSageMakerCanvasDirectDeployAccess
이 정책은 Amazon SageMaker Canvas가 Amazon SageMaker 엔드포인트를 생성하고 관리하는 데 필요한 권한을 부여합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
sagemaker- 보안 주체가 ARN 리소스 이름으로 엔드포인트를 생성하고 관리할 SageMaker 수 있도록 허용합니다. 리소스 이름은 'Canvas' 또는 'canvas'로 시작합니다. -
cloudwatch- 보안 주체가 Amazon CloudWatch 지표 데이터를 검색할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS 관리형 정책: AmazonSageMakerCanvasAIServicesAccess
이 정책은 Amazon SageMaker Canvas가 Amazon Textract, Amazon Rekognition, Amazon Comprehend 및 Amazon Bedrock을 사용할 수 있는 권한을 부여합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
textract- 보안 주체가 Amazon Textract를 사용하여 이미지 내에서 문서, 비용 및 보안 인증을 탐지할 수 있도록 허용합니다. -
rekognition- 보안 주체가 Amazon Rekognition을 사용하여 이미지 내의 레이블과 텍스트를 감지할 수 있도록 허용합니다. -
comprehend- 보안 주체가 Amazon Comprehend를 사용하여 텍스트 문서 내에서 감성 및 지배적 언어와 이름 및 개인 식별 정보(PII) 엔터티를 감지할 수 있습니다. -
bedrock- 보안 주체가 Amazon Bedrock을 사용하여 파운데이션 모델을 나열하고 호출할 수 있도록 허용합니다. -
iam- 보안 주체가 Amazon Bedrock에 IAM 역할을 전달할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS 관리형 정책: AmazonSageMakerCanvasBedrockAccess
이 정책은 Amazon Bedrock에서 Amazon SageMaker Canvas를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
s3- 보안 주체가 “sagemaker-*/Canvas” 디렉터리의 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS 관리형 정책: AmazonSageMakerCanvasForecastAccess
이 정책은 Amazon Forecast에서 Amazon SageMaker Canvas를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름이 “sagemaker-”로 시작하는 객체로 제한됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS 관리형 정책: AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy
이 정책은 Amazon SageMaker Canvas에서 대규모 데이터 처리를 위해 사용하는 Amazon S3와 같은 AWS 서비스에 대해 Amazon EMR Serverless에 권한을 부여합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
-
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름에 “SageMaker” 또는 “sagemaker”가 포함되거나 대/소문자를 구분하지 않고 “SageMaker”로 태그가 지정된 객체로 제한됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Amazon SageMaker Canvas 관리형 정책에 대한 Amazon SageMaker 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 SageMaker Canvas의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 사항 | 날짜 |
|---|---|---|---|
|
AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책에 대한 업데이트 |
4 |
|
2024년 8월 16일 |
|
AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 |
11 |
|
2024년 8월 15일 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy - 새 정책 |
1 |
초기 정책 |
2024년 7월 26일 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책에 대한 업데이트 |
3 |
|
2024년 7월 18일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
10 |
|
2024년 7월 9일 |
1 |
초기 정책 |
2024년 2월 2일 | |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
9 |
|
2024년 1월 24일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
8 |
|
2023년 12월 8일 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책에 대한 업데이트 |
2 |
이전 정책 버전 1의 의도를 적용하기 위한 소규모 업데이트, 추가 또는 삭제된 권한 없음. |
2023년 12월 7일 |
|
AmazonSageMakerCanvasAIServicesAccess - 기존 정책에 대한 업데이트 |
3 |
|
2023년 11월 29일 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 새 정책 |
1 |
초기 정책 |
2023년 10월 26일 |
1 |
초기 정책 |
2023년 10월 6일 | |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
7 |
|
2023년 9월 29일 |
|
AmazonSageMakerCanvasAIServicesAccess - 기존 정책에 대한 업데이트 |
2 |
|
2023년 9월 29일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
6 |
|
2023년 8월 29일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
5 |
|
2023년 7월 24일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
4 |
|
2023년 5월 4일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
3 |
|
2023년 3월 24일 |
|
AmazonSageMakerCanvasAIServicesAccess - 새 정책 |
1 |
초기 정책 |
2023년 3월 23일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
2 |
|
2022년 12월 6일 |
AmazonSageMakerCanvasFullAccess - 새 정책 |
1 |
초기 정책 |
2022년 9월 8일 |
1 |
초기 정책 |
2022년 8월 24일 |
