AWS 모델 레지스트리에 대한 관리형 정책 - Amazon SageMaker

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 모델 레지스트리에 대한 관리형 정책

이러한 AWS 관리형 정책은 모델 레지스트리를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 Amazon SageMaker 콘솔에서 생성된 실행 역할에서 사용됩니다.

AWS 관리형 정책: AmazonSageMakerModelRegistryFullAccess

이 AWS 관리형 정책은 Amazon SageMaker 도메인 내에서 모든 모델 레지스트리 기능을 사용하는 데 필요한 권한을 부여합니다. 이 정책은 모델 레지스트리 권한을 활성화하도록 모델 레지스트리 설정을 구성할 때 실행 역할에 연결됩니다.

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr - 보안 주체가 메타데이터를 포함하여 Amazon Elastic Container Registry(AmazonECR) 이미지에 대한 정보를 검색할 수 있습니다.

  • iam - 보안 주체가 실행 역할을 Amazon SageMaker 서비스에 전달할 수 있도록 허용합니다.

  • resource-groups - 보안 주체가 를 생성, 나열, 태그 지정 및 삭제할 수 있습니다 AWS Resource Groups.

  • s3 - 보안 주체가 모델 버전이 저장된 Amazon Simple Storage Service(S3) 버킷에서 객체를 검색할 수 있도록 허용합니다. 검색 가능한 객체는 대소문자를 구분하지 않는 이름에 문자열"sagemaker"가 포함된 객체로 제한됩니다.

  • sagemaker - 보안 주체가 모델 레지스트리를 사용하여 SageMaker 모델을 카탈로그화, 관리 및 배포할 수 있습니다.

  • kms - SageMaker 서비스 보안 주체만 권한 부여를 추가하고, 데이터 키를 생성하고, 복호화하고, 읽기 AWS KMS 키를 생성하고, “sagemaker” 사용에 대해 태그가 지정된 키만 사용할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission", "Effect": "Allow", "Action": [ "sagemaker:DescribeAction", "sagemaker:DescribeInferenceRecommendationsJob", "sagemaker:DescribeModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribePipeline", "sagemaker:DescribePipelineExecution", "sagemaker:ListAssociations", "sagemaker:ListArtifacts", "sagemaker:ListModelMetadata", "sagemaker:ListModelPackages", "sagemaker:Search", "sagemaker:GetSearchSuggestions" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission", "Effect": "Allow", "Action": [ "sagemaker:AddTags", "sagemaker:CreateModel", "sagemaker:CreateModelPackage", "sagemaker:CreateModelPackageGroup", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateInferenceRecommendationsJob", "sagemaker:DeleteModelPackage", "sagemaker:DeleteModelPackageGroup", "sagemaker:DeleteTags", "sagemaker:UpdateModelPackage" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryS3GetPermission", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AmazonSageMakerModelRegistryS3ListPermission", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryECRReadPermission", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:DescribeImages" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AmazonSageMakerModelRegistryTagReadPermission", "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission", "Effect": "Allow", "Action": [ "resource-groups:GetGroupQuery" ], "Resource": "arn:aws:resource-groups:*:*:group/*" }, { "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission", "Effect": "Allow", "Action": [ "resource-groups:ListGroupResources" ], "Resource": "*" }, { "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission", "Effect": "Allow", "Action": [ "resource-groups:CreateGroup", "resource-groups:Tag" ], "Resource": "arn:aws:resource-groups:*:*:group/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "sagemaker:collection" } } }, { "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission", "Effect": "Allow", "Action": "resource-groups:DeleteGroup", "Resource": "arn:aws:resource-groups:*:*:group/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:collection": "true" } } }, { "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker" : "true" }, "StringLike": { "kms:ViaService": "sagemaker.*.amazonaws.com" } } } ] }

모델 레지스트리 관리형 정책에 대한 Amazon SageMaker 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 모델 레지스트리의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 문서 기록 페이지에서 RSS 피드를 구독하세요. SageMaker Amazon의 문서 기록 SageMaker

정책 버전 변경 사항 날짜

AmazonSageMakerModelRegistryFullAccess - 기존 정책에 대한 업데이트

2

kms:CreateGrant, kms:DescribeKeykms:GenerateDataKey, 및 kms:Decrypt 권한을 추가합니다.

2024년 6월 6일

AmazonSageMakerModelRegistryFullAccess - 새 정책

1

초기 정책

2023년 8월 12일