기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 아마존 SageMaker 캔버스의 관리형 정책
이러한 AWS 관리형 정책은 Amazon SageMaker Canvas를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker 콘솔에서 생성된 실행 역할에 사용됩니다.
주제
- AWS 관리형 정책: AmazonSageMakerCanvasFullAccess
- AWS 관리형 정책: AmazonSageMakerCanvasDataPrepFullAccess
- AWS 관리형 정책: AmazonSageMakerCanvasDirectDeployAccess
- AWS 관리형 정책: AI AmazonSageMakerCanvas ServicesAccess
- AWS 관리형 정책: AmazonSageMakerCanvasBedrockAccess
- AWS 관리형 정책: AmazonSageMakerCanvasForecastAccess
- 아마존, 아마존 SageMaker 캔버스 매니지드 정책 SageMaker 업데이트
AWS 관리형 정책: AmazonSageMakerCanvasFullAccess
이 정책은 AWS Management Console 및 SDK를 통해 Amazon SageMaker Canvas에 대한 전체 액세스를 허용하는 권한을 부여합니다. 이 정책은 또한 관련 서비스 (예: 아마존 심플 스토리지 서비스 (Amazon S3), Simple Storage, (IAM) AWS Identity and Access Management , 아마존 가상 사설 클라우드 (Amazon VPC), 아마존 엘라스틱 컨테이너 레지스트리 (Amazon ECR), 아마존 로그, 아마존 Redshift AWS Secrets Manager, 아마존 오토파일럿, CloudWatch 모델 레지스트리, 아마존 예측 등에 대한 선택적 액세스를 제공합니다. SageMaker Amazon SageMaker ].
이 정책은 고객이 Canvas의 모든 기능을 실험하고 사용해 볼 수 있도록 돕기 위한 것입니다. SageMaker 보다 세밀한 제어를 위해 고객이 프로덕션 워크로드로 이동할 때 자체적으로 범위가 축소된 버전을 빌드하는 것이 좋습니다. 자세한 내용은 IAM 정책 유형: 사용 방법 및 시기
권한 세부 정보
이 AWS 관리형 정책에는 다음과 같은 권한이 포함됩니다.
-
sagemaker— 주도자가 ARN에 “캔버스”, “캔버스” 또는 “ SageMaker모델 컴파일-”이 포함된 리소스에서 모델을 생성하고 호스팅할 수 있습니다. 또한 사용자는 SageMaker Canvas 모델을 동일한 계정의 모델 레지스트리에 등록할 SageMaker 수 있습니다. AWS -
ec2- 보안 주체가 Amazon VPC 엔드포인트를 생성할 수 있도록 허용합니다. -
ecr- 보안 주체가 컨테이너 이미지에 대한 정보를 가져올 수 있도록 허용합니다. -
glue- 보안 주체가 카탈로그에서 테이블을 검색할 수 있도록 허용합니다. -
iam— 보안 주체가 Amazon 및 Amazon SageMaker Forecast에 IAM 역할을 넘길 수 있습니다. 또한 보안 주체가 서비스 연결 역할을 생성할 수 있습니다. -
logs- 보안 주체가 훈련 작업 및 엔드포인트의 로그를 게시할 수 있도록 허용합니다. -
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 개체는 이름에 "SageMaker“, “세이지메이커” 또는 “세이지메이커”가 포함된 개체로 제한됩니다. 또한 보안 주체는 특정 리전에서 ARN이 “jumpstart-cache-prod-”로 시작하는 Amazon S3 버킷에서 객체를 검색할 수 있도록 허용합니다. -
secretsmanager- 보안 주체가 Secrets Manager를 사용하여 고객 자격 증명을 저장하여 Snowflake 데이터베이스에 연결할 수 있도록 허용합니다. -
redshift- 보안 주체가 모든 Amazon Redshift 클러스터의 “sagemaker_access*” dbuser에 대한 자격 증명을 얻을 수 있도록 허용합니다(해당 사용자가 있는 경우). -
redshift-data- 보안 주체가 Amazon Redshift 데이터 API를 사용하여 Amazon Redshift에서 쿼리를 실행할 수 있도록 허용합니다. 이렇게 하면 Redshift 데이터 API 자체에만 액세스할 수 있으며 Amazon Redshift 클러스터에 직접 액세스할 수는 없습니다. 자세한 내용은 Amazon Redshift 데이터 API 사용을 참조하세요. -
forecast- 보안 주체가 Amazon Forecast를 사용할 수 있도록 허용합니다. -
application-autoscaling— 주도자가 추론 엔드포인트를 자동으로 조정할 수 있도록 합니다. SageMaker -
rds- 보안 주체가 프로비저닝된 Amazon RDS 인스턴스에 대한 정보를 반환할 수 있도록 허용합니다. -
cloudwatch— 보안 주체가 Amazon CloudWatch 경보를 생성하고 관리할 수 있습니다. -
athena— 보안 주체가 Amazon Athena 쿼리, 카탈로그 및 실행을 만들고, 읽고, 관리할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } ] }
AWS 관리형 정책: AmazonSageMakerCanvasDataPrepFullAccess
이 정책은 Amazon SageMaker Canvas의 데이터 준비 기능에 대한 전체 액세스를 허용하는 권한을 부여합니다. 이 정책은 또한 데이터 준비 기능과 통합되는 서비스 [예: 아마존 심플 스토리지 서비스 (Amazon S3), Simple Storage 3, (IAM) AWS Identity and Access Management , 아마존 EMR, 아마존, 아마존 Redshift, () 및] 에 대해 최소 권한 권한을 제공합니다. EventBridge AWS Key Management Service AWS KMS AWS Secrets Manager
권한 세부 정보
이 AWS 관리형 정책에는 다음과 같은 권한이 포함됩니다.
-
sagemaker— 주도자가 처리 작업, 교육 작업, 추론 파이프라인, AutoML 작업 및 기능 그룹에 액세스할 수 있습니다. -
athena— 보안 주체가 Amazon Athena의 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리할 수 있습니다. -
elasticmapreduce— 보안 주체가 Amazon EMR 클러스터를 읽고 나열할 수 있습니다. -
events— 주도자가 예약된 작업에 대한 Amazon EventBridge 규칙을 만들고, 읽고, 업데이트하고, 대상을 추가할 수 있습니다. -
glue— 주체가 카탈로그의 데이터베이스에서 테이블을 가져오고 검색할 수 있습니다. AWS Glue -
iam— 보안 주체가 Amazon 및 에 IAM 역할을 전달할 수 있도록 허용합니다. SageMaker EventBridge -
kms— 보안 주체가 작업 및 엔드포인트에 저장된 AWS KMS 별칭을 검색하고 관련 KMS 키에 액세스할 수 있도록 허용합니다. -
logs- 보안 주체가 훈련 작업 및 엔드포인트의 로그를 게시할 수 있도록 허용합니다. -
redshift— 보안 주체가 Amazon Redshift 데이터베이스에 액세스하기 위한 자격 증명을 얻을 수 있습니다. -
redshift-data— 보안 주체가 Amazon Redshift 쿼리를 실행, 취소, 설명, 나열 및 가져올 수 있습니다. 또한 보안 주체가 Amazon Redshift 스키마와 테이블을 나열할 수 있도록 허용합니다. -
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름에 "SageMaker“, “Sagemaker” 또는 “sagemaker”가 포함되거나 대소문자를 구분하지 않고 "“태그가 지정된 객체로 제한됩니다. SageMaker -
secretsmanager— 보안 주체가 Secrets Manager를 사용하여 고객 데이터베이스 자격 증명을 저장하고 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" } ] }
AWS 관리형 정책: AmazonSageMakerCanvasDirectDeployAccess
이 정책은 Amazon SageMaker Canvas가 Amazon SageMaker 엔드포인트를 생성하고 관리하는 데 필요한 권한을 부여합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음과 같은 권한이 포함됩니다.
-
sagemaker— 보안 주체가 “Canvas” 또는 “canvas”로 시작하는 ARN 리소스 이름을 사용하여 SageMaker 엔드포인트를 생성하고 관리할 수 있습니다. -
cloudwatch— 보안 주체가 Amazon CloudWatch 메트릭 데이터를 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS 관리형 정책: AI AmazonSageMakerCanvas ServicesAccess
이 정책은 아마존 SageMaker 캔버스에 아마존 텍스트랙트, 아마존 Rekognition, 아마존 Comprehend 및 아마존 베드록을 사용할 수 있는 권한을 부여합니다.
권한 세부 정보
이 관리형 정책에는 다음과 같은 권한이 포함됩니다. AWS
-
textract- 보안 주체가 Amazon Textract를 사용하여 이미지 내에서 문서, 비용 및 보안 인증을 탐지할 수 있도록 허용합니다. -
rekognition- 보안 주체가 Amazon Rekognition을 사용하여 이미지 내의 레이블과 텍스트를 감지할 수 있도록 허용합니다. -
comprehend- 보안 주체가 Amazon Comprehend를 사용하여 텍스트 문서 내에서 감정 및 모국어, 이름이 지정된 개인 식별 정보(PII) 항목을 탐지할 수 있도록 허용합니다. -
bedrock- 보안 주체가 Amazon Bedrock을 사용하여 파운데이션 모델을 나열하고 호출할 수 있도록 허용합니다. -
iam— 보안 주체가 Amazon Bedrock에 IAM 역할을 넘겨줄 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS 관리형 정책: AmazonSageMakerCanvasBedrockAccess
이 정책은 Amazon Bedrock과 함께 Amazon SageMaker Canvas를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음과 같은 권한이 포함됩니다.
-
s3— 보안 주체가 “Sagemaker-*/Canvas” 디렉터리의 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS 관리형 정책: AmazonSageMakerCanvasForecastAccess
이 정책은 Amazon Forecast와 함께 Amazon SageMaker Canvas를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
권한 세부 정보
이 AWS 관리형 정책에는 다음과 같은 권한이 포함됩니다.
-
s3- 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름이 “sagemaker-”로 시작하는 객체로 제한됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
아마존, 아마존 SageMaker 캔버스 매니지드 정책 SageMaker 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 SageMaker Canvas의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인하십시오.
| 정책 | 버전 | 변경 사항 | 날짜 |
|---|---|---|---|
1 |
초기 정책 |
2024년 2월 2일 | |
|
AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 |
9 |
|
2024년 1월 24일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
8 |
|
2023년 12월 8일 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책에 대한 업데이트 |
2 |
이전 정책인 버전 1의 의도를 적용하기 위한 소규모 업데이트. 권한이 추가되거나 삭제되지 않았습니다. |
2023년 12월 7일 |
|
AmazonSageMakerCanvasAI ServicesAccess - 기존 정책에 대한 업데이트 |
3 |
|
2023년 11월 29일 |
|
AmazonSageMakerCanvasDataPrepFullAccess - 새 정책 |
1 |
초기 정책 |
2023년 10월 26일 |
1 |
초기 정책 |
2023년 10월 6일 | |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
7 |
|
2023년 9월 29일 |
|
AmazonSageMakerCanvasAI ServicesAccess - 기존 정책 업데이트 |
2 |
|
2023년 9월 29일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
6 |
|
2023년 8월 29일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
5 |
|
2023년 7월 24일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
4 |
|
2023년 5월 4일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
3 |
|
2023년 3월 24일 |
|
AmazonSageMakerCanvasAI ServicesAccess - 새 정책 |
1 |
초기 정책 |
2023년 3월 23일 |
AmazonSageMakerCanvasFullAccess - 기존 정책 업데이트 |
2 |
|
2022년 12월 6일 |
AmazonSageMakerCanvasFullAccess - 새 정책 |
1 |
초기 정책 |
2022년 9월 8일 |
1 |
초기 정책 |
2022년 8월 24일 |
