기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 아마존 관리형 정책 SageMaker
사용자, 그룹 및 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더 쉽습니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하기 위해서는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이러한 정책은 일반적인 사용 사례를 다루며 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서의AWS 관리형 정책을 참조하십시오.
AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스가 새 기능을 지원하기 위해 AWS 관리형 정책에 권한을 추가하는 경우가 있습니다. 이 유형의 업데이트는 정책이 연결된 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새 기능이 출시되거나 새 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.
또한 여러 서비스에 걸친 작업 기능에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 ReadOnlyAccess AWS 관리형 정책은 모든 AWS 서비스와 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스에서 새 기능을 시작하면 AWS (이)가 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 직무 정책의 목록과 설명은 IAM 사용 설명서의 직무에 관한AWS 관리형 정책을 참조하세요.
중요
사용 사례를 수행할 수 있는 가장 제한된 정책을 사용하는 것이 좋습니다.
계정의 사용자에게 연결할 수 있는 다음과 같은 AWS 관리형 정책은 Amazon에만 적용됩니다 SageMaker.
-
AmazonSageMakerFullAccess— Amazon SageMaker 및 SageMaker 지리공간 리소스와 지원되는 작업에 대한 전체 액세스 권한을 부여합니다. 제한 없는 Amazon S3 액세스를 제공하지만 특정sagemaker태그가 포함된 버킷 및 객체를 지원합니다. 이 정책은 모든 IAM 역할을 Amazon에 전달하는 것을 허용하지만 SageMaker, “AmazonSageMaker”가 포함된 IAM 역할만 AWS Glue, AWS Step Functions, 서비스에 전달되도록 허용합니다. AWS RoboMaker -
AmazonSageMakerReadOnly— Amazon SageMaker 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.
다음과 같은 AWS 관리형 정책을 계정의 사용자에게 첨부할 수 있지만 권장하지는 않습니다.
-
AdministratorAccess- 모든 AWS 서비스 및 계정 내 모든 리소스에 대한 모든 작업을 허용합니다. -
DataScientist– 데이터 사이언티스트가 마주하는 대부분의 사용 사례(주로 분석 및 비즈니스 인텔리전스)를 처리하는 폭넓은 권한을 부여합니다.
IAM 콘솔에 로그인하고 이 콘솔에서 정책을 검색하여 이러한 권한 정책을 검토할 수 있습니다.
또한 필요에 따라 Amazon SageMaker 작업 및 리소스에 대한 권한을 허용하는 사용자 지정 IAM 정책을 생성할 수 있습니다. 정책이 필요한 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.
주제
- AWS 관리형 정책: AmazonSageMakerFullAccess
- AWS 관리형 정책: AmazonSageMakerReadOnly
- AWS 아마존 SageMaker 캔버스의 관리형 정책
- AWS Amazon SageMaker 클러스터의 관리형 정책
- AWS Amazon SageMaker 피처 스토어에 대한 관리형 정책
- AWS Amazon SageMaker 지리공간을 위한 관리형 정책
- AWS Amazon SageMaker Ground Truth에 대한 관리형 정책
- AWS SageMaker 모델 거버넌스를 위한 관리형 정책
- AWS 모델 레지스트리에 대한 관리형 정책
- AWS SageMaker 노트북에 대한 관리형 정책
- AWS SageMaker 파이프라인 관리형 정책
- AWS SageMaker 프로젝트에 대한 관리형 정책 및 JumpStart
- SageMaker AWS 관리형 정책 업데이트
AWS 관리형 정책: AmazonSageMakerFullAccess
이 정책은 보안 주체가 모든 Amazon SageMaker 및 SageMaker 지리공간 리소스와 운영에 대한 전체 액세스를 허용하는 관리 권한을 부여합니다. 또한 이 정책은 관련 서비스에 대한 선택적 액세스를 제공합니다. 이 정책은 모든 IAM 역할을 Amazon에 전달하는 것을 허용하지만 SageMaker, “AmazonSageMaker”가 포함된 IAM 역할만 AWS Glue, AWS Step Functions, 서비스에 전달되도록 허용합니다. AWS RoboMaker 이 정책에는 Amazon SageMaker 도메인을 생성할 수 있는 권한이 포함되어 있지 않습니다. 도메인을 생성하는 데 필요한 정책에 대한 자세한 내용은 아마존 SageMaker 사전 요구 사항섹션을 참조하세요.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
application-autoscaling— 보안 주체가 SageMaker 실시간 추론 엔드포인트를 자동으로 확장할 수 있도록 허용합니다. -
athena— 주도자가 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리할 수 있습니다. Amazon Athena -
aws-marketplace— 교육자가 AI AWS Marketplace 구독을 볼 수 있습니다. 구독한 SageMaker 소프트웨어에 액세스하려면 이 정보가 필요합니다. AWS Marketplace -
cloudformation— 교장이 SageMaker JumpStart 솔루션 및 파이프라인 사용을 위한 AWS CloudFormation 템플릿을 가져올 수 있습니다. SageMaker JumpStart다른 서비스와 연계되는 end-to-end 기계 학습 솔루션을 실행하는 SageMaker 데 필요한 리소스를 생성합니다. AWS SageMaker 파이프라인은 Service Catalog의 지원을 받는 새 프로젝트를 생성합니다. -
cloudwatch— 담당자가 CloudWatch 메트릭을 게시하고, 경보와 상호 작용하고, 계정의 로그에 CloudWatch 로그를 업로드할 수 있습니다. -
codebuild— 주도자가 파이프라인 및 프로젝트의 AWS CodeBuild 아티팩트를 저장할 수 있습니다. SageMaker -
codecommit— 노트북 AWS CodeCommit 인스턴스와의 SageMaker 통합에 필요합니다. -
cognito-idp— Amazon SageMaker Ground Truth에서 개인 인력과 작업 팀을 정의하는 데 필요합니다. -
ec2— SageMaker 작업, 모델, 엔드포인트 및 노트북 인스턴스에 대해 SageMaker Amazon VPC를 지정할 때 Amazon EC2 리소스 및 네트워크 인터페이스를 관리하는 데 필요합니다. -
ecr— Amazon SageMaker Studio Classic (사용자 지정 이미지), 교육, 처리, 배치 추론 및 추론 엔드포인트에 대한 Docker 아티팩트를 가져와서 저장하는 데 필요합니다. 이는 에서 자체 컨테이너를 사용할 때도 필요합니다. SageMaker 사용자를 대신하여 사용자 지정 이미지를 만들고 제거하려면 SageMaker JumpStart 솔루션에 대한 추가 권한이 필요합니다. -
elastic-inference— 보안 주체가 Amazon Elastic Inference에 연결하여 노트북 인스턴스 및 엔드포인트를 SageMaker 사용할 수 있도록 합니다. -
elasticfilesystem- 보안 주체가 Amazon Elastic File System에 액세스할 수 있도록 허용합니다. 이는 Amazon Elastic File System의 데이터 소스를 사용하여 기계 학습 모델을 교육하는 데 필요합니다. SageMaker -
fsx- 보안 주체에게 Amazon FSx에 대한 액세스 권한을 허용합니다. 이는 Amazon FSx의 데이터 소스를 사용하여 기계 학습 모델을 교육하는 데 필요합니다. SageMaker -
glue— 노트북 인스턴스 내에서 추론 파이프라인을 사전 처리하는 데 필요합니다. SageMaker -
groundtruthlabeling- Ground Truth 레이블 지정 작업에 필요합니다.groundtruthlabeling엔드포인트는 Ground Truth 콘솔을 통해 액세스할 수 있습니다. -
iam— SageMaker 콘솔에 사용 가능한 IAM 역할에 대한 액세스 권한을 부여하고 서비스 연결 역할을 생성하는 데 필요했습니다. -
kms— SageMaker 콘솔에 사용 가능한 AWS KMS 키에 대한 액세스 권한을 부여하고 작업 및 엔드포인트의 지정된 AWS KMS 별칭에 대해 해당 키를 검색해야 했습니다. -
lambda- 보안 주체가 AWS Lambda 함수 목록을 간접 호출하고 가져올 수 있습니다. -
logs— SageMaker 작업과 엔드포인트가 로그 스트림을 게시할 수 있도록 허용하는 데 필요합니다. -
redshift- 보안 주체가 Amazon Redshift 클러스터 자격 증명에 액세스할 수 있도록 허용합니다. -
redshift-data- 보안 주체가 Amazon Redshift의 데이터를 사용하여 명령문을 실행, 설명 및 취소하고, 명령문 결과를 가져오고, 스키마와 테이블을 나열할 수 있도록 허용합니다. -
robomaker— 주도자가 AWS RoboMaker 시뮬레이션 응용 프로그램 및 작업을 생성하고, 설명을 얻고, 삭제할 수 있는 모든 권한을 가질 수 있습니다. 이는 노트북 인스턴스에서 보강 학습 예제를 실행하는 데도 필요합니다. -
s3, s3express— 보안 주체가 모든 Amazon S3 또는 Amazon S3 Express와 관련된 Amazon S3 및 Amazon S3 Express 리소스에 대한 전체 액세스 권한을 가질 수 있도록 허용하지만 SageMaker, 모든 Amazon S3 또는 Amazon S3 Express와 관련된 리소스에 액세스할 수 있도록 허용합니다. -
sagemaker— 주체가 SageMaker 사용자 프로필에 태그를 나열하고 앱과 스페이스에 태그를 추가할 수 있습니다. SageMaker 세이지메이커의 SageMaker 플로우 정의 (WorkteamType “프라이빗 크라우드” 또는 “벤더 크라우드”) 에만 액세스할 수 있습니다. -
sagemaker및 — 주체에게 도메인 및 사용자 프로필에 대한 읽기 전용 액세스를 허용합니다.sagemaker-geospatialSageMaker -
secretsmanager– 보안 주체에게 AWS Secrets Manager에 대한 전체 액세스 권한을 허용합니다. 보안 주체는 데이터베이스와 다른 서비스의 자격 증명을 안전하게 암호화, 저장 및 검색할 수 있습니다. 이는 를 사용하는 SageMaker 코드 리포지토리가 있는 SageMaker 노트북 인스턴스에도 필요합니다. GitHub -
servicecatalog- 보안 주체가 Service Catalog를 사용할 수 있도록 허용합니다. 보안 주체는 리소스를 사용하여 배포된 서버, 데이터베이스, 웹 사이트 또는 애플리케이션과 같은 프로비전된 제품을 만들거나, 목록을 가져오거나, 업데이트하거나, 종료할 수 있습니다. AWS 이는 SageMaker JumpStart 및 프로젝트에서 서비스 카탈로그 제품을 찾아 읽고 사용자로부터 리소스를 시작하는 AWS 데 필요합니다. -
sns- 보안 주체가 Amazon SNS 주제 목록을 볼 수 있도록 허용합니다. 이는 사용자에게 추론이 완료되었음을 알리기 위해 비동기 추론이 활성화된 엔드포인트에 필요합니다. -
states— SageMaker JumpStart 및 파이프라인이 서비스 카탈로그를 사용하여 단계 함수 리소스를 생성하는 데 필요합니다. -
tag— Studio Classic에서 SageMaker 파이프라인을 렌더링하는 데 필요합니다. Studio Classic에는 특정sagemaker:project-id태그 키로 태그가 지정된 리소스가 필요합니다. 이를 위해서는tag:GetResources권한이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS 관리형 정책: AmazonSageMakerReadOnly
이 정책은 AWS Management Console 및 SDK를 SageMaker 통해 Amazon에 대한 읽기 전용 액세스 권한을 부여합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
application-autoscaling— 사용자가 확장 가능한 SageMaker 실시간 추론 엔드포인트에 대한 설명을 찾아볼 수 있습니다. -
aws-marketplace— 사용자가 AWS AI Marketplace 구독을 볼 수 있습니다. -
cloudwatch— 사용자가 CloudWatch 알람을 수신할 수 있습니다. -
cognito-idp— Amazon SageMaker Ground Truth에서 개인 인력 및 작업 팀에 대한 설명과 목록을 탐색하는 데 필요합니다. -
ecr- 훈련 및 추론을 위한 도커 아티팩트를 가져오고 저장하는 데 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker AWS 관리형 정책 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 SageMaker 이후의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인하십시오.
| 정책 | 버전 | 변경 사항 | 날짜 |
|---|---|---|---|
AmazonSageMakerFull액세스 - 기존 정책에 대한 업데이트 |
26 |
|
2024년 3월 29일 |
AmazonSageMakerFullAccess - 기존 정책 업데이트 |
25 |
|
2023년 11월 30일 |
AmazonSageMakerFullAccess - 기존 정책 업데이트 |
24 |
|
2022년 11월 30일 |
AmazonSageMakerFullAccess - 기존 정책 업데이트 |
23 |
|
2022년 6월 29일 |
AmazonSageMakerFullAccess - 기존 정책 업데이트 |
22 |
|
2022년 5월 1일 |
AmazonSageMakerRead전용 - 기존 정책에 대한 업데이트 |
11 |
|
2021년 12월 1일 |
AmazonSageMakerFullAccess - 기존 정책 업데이트 |
21 |
비동기 추론이 활성화된 엔드포인트에 대한 |
2021년 9월 8일 |
AmazonSageMakerFullAccess - 기존 정책 업데이트 |
20 |
|
2021년 7월 15일 |
AmazonSageMakerReadOnly - 기존 정책 업데이트 |
10 |
SageMaker 피처 스토어에 새 API가 |
2021년 6월 10일 |
|
SageMaker AWS 관리형 정책의 변경 사항 추적을 시작했습니다. |
2021년 6월 1일 |
