모델 레지스트리를 위한 AWS관리형 정책 - Amazon SageMaker
AmazonSageMakerModelRegistryFullAccess모델 레지스트리 정책 업데이트

모델 레지스트리를 위한 AWS관리형 정책

이러한 AWS관리형 정책은 모델 레지스트리를 사용하는 데 필요한 권한을 추가합니다. 이 정책은 사용자 AWS계정에서 사용할 수 있으며 Amazon SageMaker Console에서 생성한 실행 역할에 사용됩니다.

AWS 관리형 정책: AmazonSageMakerModelRegistryFullAccess

이 AWS관리형 정책은 모든 Amazon SageMaker 도메인 내부의 모델 레지스트리 특성을 사용하는 데 필요한 권한을 부여합니다. 이 정책은 모델 레지스트리 권한을 활성화하도록 모델 레지스트리 설정을 구성할 때 실행 역할에 연결됩니다.

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr - 보안 주체가 Amazon Elastic Container Registry(Amazon ECR) 이미지에 대해 메타데이터를 포함한 정보를 검색할 수 있도록 허용합니다.

  • iam - 보안 주체가 Amazon SageMaker 서비스에 실행 역할을 넘길 수 있도록 허용합니다.

  • resource-groups - 보안 주체가 AWS Resource Groups를 생성하고, 나열하고, 태그를 지정하고 삭제할 수 있도록 허용합니다.

  • s3 - 보안 주체가 모델 버전이 저장된 Amazon Simple Storage Service(S3) 버킷에서 객체를 검색할 수 있도록 허용합니다. 검색 가능한 객체는 대소문자를 구분하지 않는 이름에 문자열"sagemaker"가 포함된 객체로 제한됩니다.

  • sagemaker - 보안 주체가 SageMaker 모델 레지스트리를 사용하여 모델을 카탈로그, 관리 및 배포할 수 있도록 허용합니다.

  • kms - SageMaker 서비스 위탁자만 권한 부여를 추가하고, 데이터 키를 만들고, 복호화하고, AWS KMS 키 및 'sagemaker' 사용을 위해 태그가 지정된 키만 읽도록 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:ListAssociations",
        "sagemaker:ListArtifacts",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackages",
        "sagemaker:Search",
        "sagemaker:GetSearchSuggestions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteTags",
        "sagemaker:UpdateModelPackage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3GetPermission",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3ListPermission",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryECRReadPermission",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchGetImage",
        "ecr:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryTagReadPermission",
      "Effect": "Allow",
      "Action": [
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:GetGroupQuery"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:ListGroupResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:CreateGroup",
        "resource-groups:Tag"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": "sagemaker:collection"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
      "Effect": "Allow",
      "Action": "resource-groups:DeleteGroup",
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker:collection": "true"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:*:*:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker" : "true"
        },
        "StringLike": {
          "kms:ViaService": "sagemaker.*.amazonaws.com"
        }
      }
    }
  ]
}

모델 레지스트리 관리형 정책에 대한 Amazon SageMaker 업데이트

이 서비스가 이러한 변경 내용을 추적하기 시작한 이후부터 모델 레지스트리의 AWS관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 문서 기록 페이지에서 RSS 피드를 구독하세요.

정책 버전 변경 사항 날짜

AmazonSageMakerModelRegistryFullAccess - 기존 정책에 대한 업데이트

2

kms:CreateGrant, kms:DescribeKey, kms:GenerateDataKeykms:Decrypt 권한을 추가합니다.

 2024년 6월 6일

AmazonSageMakerModelRegistryFullAccess - 새 정책

1

초기 정책

 2023년 8월 12일