기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사용자, 그룹 및 역할에 권한을 추가하려면 직접 정책을 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더 쉽습니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하기 위해서는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이러한 정책은 일반적인 사용 사례를 다루며 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.
AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스는 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 태스크를 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트가 기존 권한을 손상시키지 않습니다.
또한 여러 서비스에 걸쳐 있는 직무에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 ReadOnlyAccess
AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 시작하면는 새 작업 및 리소스에 대한 읽기 전용 권한을 AWS 추가합니다. 직무 정책의 목록과 설명은 IAM 사용 설명서의 직무에 관한AWS 관리형 정책을 참조하세요.
중요
사용 사례를 수행할 수 있는 가장 제한된 정책을 사용하는 것이 좋습니다.
계정의 사용자에게 연결할 수 있는 다음 AWS 관리형 정책은 Amazon SageMaker AI에만 해당됩니다.
-
AmazonSageMakerFullAccess
- Amazon SageMaker AI 및 SageMaker AI 지리 공간 리소스와 지원되는 작업에 대한 전체 액세스 권한을 부여합니다. 제한 없는 Amazon S3 액세스를 제공하지만 특정sagemaker
태그가 포함된 버킷 및 객체를 지원합니다. 이 정책은 모든 IAM 역할을 Amazon SageMaker AI에 전달할 수 있도록 허용하지만 'AmazonSageMaker'가 있는 IAM 역할만 AWS Glue AWS Step Functions, 및 AWS RoboMaker 서비스에 전달할 수 있도록 허용합니다. -
AmazonSageMakerReadOnly
- Amazon SageMaker AI 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.
다음 AWS 관리형 정책은 계정의 사용자에게 연결할 수 있지만 권장되지 않습니다.
-
AdministratorAccess
- 모든 AWS 서비스 및 계정 내 모든 리소스에 대한 모든 작업을 허용합니다. -
DataScientist
– 데이터 사이언티스트가 마주하는 대부분의 사용 사례(주로 분석 및 비즈니스 인텔리전스)를 처리하는 폭넓은 권한을 부여합니다.
IAM 콘솔에 로그인하고 이 콘솔에서 정책을 검색하여 이러한 권한 정책을 검토할 수 있습니다.
또한 사용자 지정 IAM 정책을 생성하여 Amazon SageMaker AI 작업 및 리소스에 대한 권한을 필요에 따라 허용할 수 있습니다. 정책이 필요한 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.
주제
- AWS 관리형 정책: AmazonSageMakerFullAccess
- AWS 관리형 정책: AmazonSageMakerReadOnly
- AWS Amazon SageMaker Canvas에 대한 관리형 정책
- AWS Amazon SageMaker 특성 저장소에 대한 관리형 정책
- AWS Amazon SageMaker 지리공간에 대한 관리형 정책
- AWS Amazon SageMaker Ground Truth에 대한 관리형 정책
- AWS Amazon SageMaker HyperPod에 대한 관리형 정책
- AWS SageMaker AI 모델 거버넌스에 대한 관리형 정책
- AWS 모델 레지스트리에 대한 관리형 정책
- AWS SageMaker 노트북에 대한 관리형 정책
- AWS Amazon SageMaker 파트너 AI 앱에 대한 관리형 정책
- AWS SageMaker Pipelines에 대한 관리형 정책
- AWS SageMaker 훈련 계획에 대한 관리형 정책
- AWS SageMaker 프로젝트 및 JumpStart에 대한 관리형 정책
- AWS 관리형 정책에 대한 SageMaker AI 업데이트
AWS 관리형 정책: AmazonSageMakerFullAccess
이 정책은 보안 주체가 모든 Amazon SageMaker AI 및 SageMaker AI 지리 공간 리소스 및 작업에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 또한 이 정책은 관련 서비스에 대한 선택적 액세스를 제공합니다. 이 정책은 모든 IAM 역할을 Amazon SageMaker AI에 전달할 수 있지만, 'AmazonSageMaker'가 있는 IAM 역할만 AWS Glue AWS Step Functions및 AWS RoboMaker 서비스에 전달할 수 있도록 허용합니다. 이 정책에는 Amazon SageMaker AI 도메인을 생성할 수 있는 권한이 포함되지 않습니다. 도메인을 생성하는 데 필요한 정책에 대한 자세한 내용은 Amazon SageMaker AI 사전 조건 완료섹션을 참조하세요.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
application-autoscaling
- 보안 주체가 SageMaker AI 실시간 추론 엔드포인트를 자동으로 확장할 수 있도록 허용합니다. -
athena
- 보안 주체가 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리할 수 있습니다 Amazon Athena. -
aws-marketplace
- 보안 주체가 AWS AI Marketplace 구독을 볼 수 있도록 허용합니다. 에서 구독한 SageMaker AI 소프트웨어에 액세스하려면이 정보가 필요합니다 AWS Marketplace. -
cloudformation
- 보안 주체가 SageMaker AI JumpStart 솔루션 및 파이프라인을 사용하기 위한 AWS CloudFormation 템플릿을 가져올 수 있도록 허용합니다. SageMaker AI JumpStart는 SageMaker AI를 다른 AWS 서비스와 연결하는 end-to-end 기계 학습 솔루션을 실행하는 데 필요한 리소스를 생성합니다. SageMaker AI 파이프라인은 Service Catalog에서 지원하는 새 프로젝트를 생성합니다. -
cloudwatch
- 보안 주체가 CloudWatch 지표를 게시하고, 경보와 상호 작용하고, 계정의 CloudWatch Logs에 로그를 업로드할 수 있습니다. -
codebuild
- 보안 주체가 SageMaker AI 파이프라인 및 프로젝트에 대한 AWS CodeBuild 아티팩트를 저장할 수 있도록 허용합니다. -
codecommit
- SageMaker AI 노트북 인스턴스와 AWS CodeCommit 통합하는 데 필요합니다. -
cognito-idp
- 프라이빗 작업 인력 및 작업 팀을 정의하기 위한 Amazon SageMaker Ground Truth에 필요합니다. -
ec2
- SageMaker AI 작업, 모델, 엔드포인트 및 노트북 인스턴스에 Amazon VPC를 지정할 때 SageMaker AI가 Amazon EC2 리소스 및 네트워크 인터페이스를 관리하는 데 필요합니다. -
ecr
- Amazon SageMaker Studio Classic(사용자 지정 이미지), 훈련, 처리, 배치 추론 및 추론 엔드포인트에 대한 Docker 아티팩트를 가져오고 저장하는 데 필요합니다. 이는 SageMaker AI에서 자체 컨테이너를 사용하는 데도 필요합니다. 사용자를 대신하여 사용자 지정 이미지를 생성하고 제거하려면 SageMaker AI JumpStart 솔루션에 대한 추가 권한이 필요합니다. -
elasticfilesystem
- 보안 주체가 Amazon Elastic File System에 액세스할 수 있도록 허용합니다. 이는 SageMaker AI가 기계 학습 모델 훈련을 위해 Amazon Elastic File System의 데이터 소스를 사용하는 데 필요합니다. -
fsx
- 보안 주체에게 Amazon FSx에 대한 액세스 권한을 허용합니다. 이는 SageMaker AI가 기계 학습 모델을 훈련하기 위해 Amazon FSx의 데이터 소스를 사용하는 데 필요합니다. -
glue
- SageMaker AI 노트북 인스턴스 내에서 추론 파이프라인 전처리에 필요합니다. -
groundtruthlabeling
- Ground Truth 레이블 지정 작업에 필요합니다.groundtruthlabeling
엔드포인트는 Ground Truth 콘솔을 통해 액세스할 수 있습니다. -
iam
- SageMaker AI 콘솔에 사용 가능한 IAM 역할에 대한 액세스 권한을 부여하고 서비스 연결 역할을 생성하는 데 필요합니다. -
kms
- SageMaker AI 콘솔에 사용 가능한 AWS KMS 키에 대한 액세스 권한을 부여하고 작업 및 엔드포인트에서 지정된 AWS KMS 별칭에 대해 해당 키를 검색해야 합니다. -
lambda
- 보안 주체가 AWS Lambda 함수 목록을 간접 호출하고 가져올 수 있습니다. -
logs
- SageMaker AI 작업 및 엔드포인트가 로그 스트림을 게시하도록 허용하는 데 필요합니다. -
redshift
- 보안 주체가 Amazon Redshift 클러스터 자격 증명에 액세스할 수 있도록 허용합니다. -
redshift-data
- 보안 주체가 Amazon Redshift의 데이터를 사용하여 명령문을 실행, 설명 및 취소하고, 명령문 결과를 가져오고, 스키마와 테이블을 나열할 수 있도록 허용합니다. -
robomaker
- 보안 주체가 AWS RoboMaker 시뮬레이션 애플리케이션 및 작업을 생성, 설명 가져오기 및 삭제할 수 있는 모든 액세스 권한을 갖도록 허용합니다. 이는 노트북 인스턴스에서 보강 학습 예제를 실행하는 데도 필요합니다. -
s3, s3express
- 보안 주체가 SageMaker AI와 관련된 Amazon S3 및 Amazon S3 Express 리소스에 대한 전체 액세스 권한을 갖도록 허용하지만 모든 Amazon S3 또는 Amazon S3 Express에 대한 전체 액세스 권한을 가질 수는 없습니다. -
sagemaker
- 보안 주체가 SageMaker AI 사용자 프로필에 태그를 나열하고 SageMaker AI 앱 및 공간에 태그를 추가할 수 있습니다. sagemaker:WorkteamType "private-crowd" 또는 "vendor-crowd"의 SageMaker AI 흐름 정의에만 액세스할 수 있습니다. 훈련 계획 기능에 액세스할 수 있는 모든 AWS 리전에서 SageMaker 훈련 작업 및 SageMaker HyperPod 클러스터에서 SageMaker AI 훈련 계획 및 예약 용량을 사용하고 설명할 수 있습니다. -
sagemaker
및sagemaker-geospatial
- 보안 주체가 SageMaker AI 도메인 및 사용자 프로필에 대한 읽기 전용 액세스를 허용합니다. -
secretsmanager
– 보안 주체에게 AWS Secrets Manager에 대한 전체 액세스 권한을 허용합니다. 보안 주체는 데이터베이스와 다른 서비스의 자격 증명을 안전하게 암호화, 저장 및 검색할 수 있습니다. 이는 GitHub를 사용하는 SageMaker AI 코드 리포지토리가 있는 SageMaker AI 노트북 인스턴스에도 필요합니다. -
servicecatalog
- 보안 주체가 Service Catalog를 사용할 수 있도록 허용합니다. 보안 주체는 AWS 리소스를 사용하여 배포된 서버, 데이터베이스, 웹 사이트 또는 애플리케이션과 같은 프로비저닝된 제품을 생성, 목록 가져오기, 업데이트 또는 종료할 수 있습니다. 이는 SageMaker AI JumpStart 및 프로젝트가 서비스 카탈로그 제품을 찾아서 읽고 사용자에서 AWS 리소스를 시작하는 데 필요합니다. -
sns
- 보안 주체가 Amazon SNS 주제 목록을 볼 수 있도록 허용합니다. 이는 사용자에게 추론이 완료되었음을 알리기 위해 비동기 추론이 활성화된 엔드포인트에 필요합니다. -
states
- SageMaker AI JumpStart 및 Pipelines이 서비스 카탈로그를 사용하여 단계 함수 리소스를 생성하는 데 필요합니다. -
tag
- SageMaker AI 파이프라인이 Studio Classic에서 렌더링하는 데 필요합니다. Studio Classic에는 특정sagemaker:project-id
태그 키로 태그가 지정된 리소스가 필요합니다. 이를 위해서는tag:GetResources
권한이 필요합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elastic-inference:Connect",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
AWS 관리형 정책: AmazonSageMakerReadOnly
이 정책은 AWS Management Console 및 SDK를 통해 Amazon SageMaker AI에 대한 읽기 전용 액세스 권한을 부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
application-autoscaling
- 사용자가 확장 가능한 SageMaker AI 실시간 추론 엔드포인트에 대한 설명을 찾아볼 수 있습니다. -
aws-marketplace
- 사용자가 AWS AI Marketplace 구독을 볼 수 있도록 허용합니다. -
cloudwatch
- 사용자가 CloudWatch 경보를 수신할 수 있도록 허용합니다. -
cognito-idp
- Amazon SageMaker Ground Truth가 프라이빗 작업 인력 및 작업 팀에 대한 설명과 목록을 찾아보는 데 필요합니다. -
ecr
- 훈련 및 추론을 위한 도커 아티팩트를 가져오고 저장하는 데 필요합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
AWS 관리형 정책에 대한 SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 SageMaker AI의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
정책 | 버전 | 변경 사항 | 날짜 |
---|---|---|---|
AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 |
27 |
|
2024년 12월 4일 |
AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 |
26 |
|
2024년 3월 29일 |
AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 |
25 |
|
2023년 11월 30일 |
AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 |
24 |
|
2022년 11월 30일 |
AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 |
23 |
|
2022년 6월 29일 |
AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 |
22 |
|
2022년 5월 1일 |
AmazonSageMakerReadOnly - 기존 정책에 대한 업데이트 |
11 |
|
2021년 12월 1일 |
AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 |
21 |
비동기 추론이 활성화된 엔드포인트에 대한 |
2021년 9월 8일 |
AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 |
20 |
|
2021년 7월 15일 |
AmazonSageMakerReadOnly - 기존 정책에 대한 업데이트 |
10 |
SageMaker AI 특성 저장소에 대한 새 API가 |
2021년 6월 10일 |
SageMaker AI는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. |
2021년 6월 1일 |