AWS 모델 레지스트리에 대한 관리형 정책 - 아마존 SageMaker
AmazonSageMakerModelRegistryFullAccess모델 레지스트리 정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 모델 레지스트리에 대한 관리형 정책

다음과 같습니다. AWS 관리형 정책은 모델 레지스트리를 사용하는 데 필요한 권한을 추가합니다. 정책은 다음에서 확인할 수 있습니다. AWS 계정이며 Amazon SageMaker 콘솔에서 생성된 실행 역할에 사용됩니다.

AWS 관리형 정책: AmazonSageMakerModelRegistryFullAccess

이것은 AWS 관리형 정책은 Amazon SageMaker 도메인 내에서 모든 모델 레지스트리 기능을 사용하는 데 필요한 권한을 부여합니다. 이 정책은 모델 레지스트리 권한을 활성화하도록 모델 레지스트리 설정을 구성할 때 실행 역할에 연결됩니다.

이 정책에는 다음 권한이 포함되어 있습니다.

  • ecr— 주체가 Amazon Elastic Container 레지스트리 ECR (Amazon) 이미지에 대한 메타데이터를 비롯한 정보를 검색할 수 있습니다.

  • iam— 보안 주체가 Amazon SageMaker 서비스에 실행 역할을 넘겨줄 수 있습니다.

  • resource-groups— 보안 주체가 생성, 나열, 태그 지정 및 삭제할 수 있습니다. AWS Resource Groups.

  • s3 - 보안 주체가 모델 버전이 저장된 Amazon Simple Storage Service(S3) 버킷에서 객체를 검색할 수 있도록 허용합니다. 검색 가능한 객체는 대소문자를 구분하지 않는 이름에 문자열"sagemaker"가 포함된 객체로 제한됩니다.

  • sagemaker— 주도자가 모델 레지스트리를 사용하여 모델을 카탈로그, 관리 및 배포할 수 있습니다. SageMaker

  • kms— SageMaker 서비스 주체만 권한 추가, 데이터 키 생성, 암호 해독 및 읽기 작업을 수행할 수 있습니다. AWS KMS 키, 그리고 “sagemaker” 용도로 태그가 지정된 키만

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:ListAssociations",
        "sagemaker:ListArtifacts",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackages",
        "sagemaker:Search",
        "sagemaker:GetSearchSuggestions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteTags",
        "sagemaker:UpdateModelPackage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3GetPermission",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3ListPermission",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryECRReadPermission",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchGetImage",
        "ecr:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryTagReadPermission",
      "Effect": "Allow",
      "Action": [
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:GetGroupQuery"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:ListGroupResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:CreateGroup",
        "resource-groups:Tag"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": "sagemaker:collection"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
      "Effect": "Allow",
      "Action": "resource-groups:DeleteGroup",
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker:collection": "true"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:*:*:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker" : "true"
        },
        "StringLike": {
          "kms:ViaService": "sagemaker.*.amazonaws.com"
        }
      }
    }
  ]
}

Amazon, 모델 레지스트리 관리 정책 SageMaker 업데이트

업데이트에 대한 세부 정보 보기 AWS 이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Model Registry에 대한 관리형 정책 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 SageMaker 문서 기록 페이지에서 RSS 피드를 구독하십시오.

정책 버전 변경 사항 날짜

AmazonSageMakerModelRegistryFullAccess - 기존 정책에 대한 업데이트

2

kms:CreateGrant, kms:DescribeKeykms:GenerateDataKey, 및 kms:Decrypt 권한을 추가합니다.

 2024년 6월 6일

AmazonSageMakerModelRegistryFullAccess - 새 정책

1

초기 정책

 2023년 8월 12일