AWS SageMaker 노트북 관리형 정책 - Amazon SageMaker

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS SageMaker 노트북 관리형 정책

이러한 AWS 관리형 정책은 SageMaker 노트북을 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker 콘솔에서 생성된 실행 역할에서 사용됩니다.

AWS 관리형 정책: AmazonSageMakerNotebooksServiceRolePolicy

이 AWS 관리형 정책은 Amazon SageMaker Notebooks를 사용하는 데 일반적으로 필요한 권한을 부여합니다. 정책은 Amazon SageMaker Studio Classic에 온보딩할 때 AWSServiceRoleForAmazonSageMakerNotebooks 생성되는 에 추가됩니다. 서비스 연결 역할에 대한 자세한 내용은 서비스 연결 역할섹션을 참조하세요.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • elasticfilesystem - 보안 주체가 Amazon Elastic File System(EFS) 파일 시스템, 액세스 포인트 및 탑재 대상을 생성하고 삭제할 수 있습니다. 이는 키 로 태그가 지정된 로 제한됩니다ManagedByAmazonSageMakerResource. 보안 주체가 모든 EFS 파일 시스템, 액세스 포인트 및 탑재 대상을 설명할 수 있습니다. 보안 주체가 EFS 액세스 포인트 및 마운트 대상에 대한 태그를 생성하거나 덮어쓸 수 있습니다.

  • ec2 - 보안 주체가 Amazon Elastic Compute Cloud(EC2) 인스턴스에 대한 네트워크 인터페이스 및 보안 그룹을 생성할 수 있습니다. 또한 보안 주체가 이러한 리소스에 대한 태그를 생성하고 덮어쓸 수 있도록 허용합니다.

  • sso - 보안 주체가 AWS IAM Identity Center에 관리형 애플리케이션 인스턴스를 추가 및 삭제할 수 있도록 허용합니다.

  • sagemaker - 보안 주체가 사용자 프로필과 SageMaker 공백을 생성 및 읽고 SageMaker SageMaker 공백과 SageMaker 앱을 삭제할 수 있습니다. 또한 보안 주체가 태그를 추가하고 나열할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSageMakerDeleteApp", "Effect": "Allow", "Action": [ "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*" }, { "Sid": "AllowEFSAccessPointCreation", "Effect": "Allow", "Action": "elasticfilesystem:CreateAccessPoint", "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*", "aws:RequestTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSAccessPointDeletion", "Effect": "Allow", "Action": [ "elasticfilesystem:DeleteAccessPoint" ], "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSCreation", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSMountWithDeletion", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateMountTarget", "elasticfilesystem:DeleteFileSystem", "elasticfilesystem:DeleteMountTarget" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSDescribe", "Effect": "Allow", "Action": [ "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" }, { "Sid": "AllowEFSTagging", "Effect": "Allow", "Action": "elasticfilesystem:TagResource", "Resource": [ "arn:aws:elasticfilesystem:*:*:access-point/*", "arn:aws:elasticfilesystem:*:*:file-system/*" ], "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEC2Tagging", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Sid": "AllowEC2Operations", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" }, { "Sid": "AllowEC2AuthZ", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteSecurityGroup", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowIdcOperations", "Effect": "Allow", "Action": [ "sso:CreateManagedApplicationInstance", "sso:DeleteManagedApplicationInstance", "sso:GetManagedApplicationInstance" ], "Resource": "*" }, { "Sid": "AllowSagemakerProfileCreation", "Effect": "Allow", "Action": [ "sagemaker:CreateUserProfile", "sagemaker:DescribeUserProfile" ], "Resource": "*" }, { "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:DescribeSpace", "sagemaker:DeleteSpace", "sagemaker:ListTags" ], "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*" }, { "Sid": "AllowSagemakerAddTagsForAppManagedSpaces", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*", "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } } ] }

노트북 관리형 정책에 대한 SageMaker Amazon SageMaker 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 SageMaker 이후 Amazon의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.

정책 버전 변경 사항 날짜

AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책에 대한 업데이트

9

sagemaker:DeleteApp 권한을 추가합니다.

2024년 7월 24일

AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트

8

sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTagssagemaker:AddTags권한을 추가합니다.

2024년 5월 22일

AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트

7

elasticfilesystem:TagResource 권한을 추가합니다.

2023년 3월 9일

AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트

6

elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPointelasticfilesystem:DescribeAccessPoints권한 추가.

2023년 1월 12일

SageMaker 는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

2021년 6월 1일