As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para o Amazon SageMaker Canvas
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o Amazon SageMaker Canvas. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
Tópicos
- AWS política gerenciada: AmazonSageMakerCanvasFullAccess
- AWS política gerenciada: AmazonSageMakerCanvasDataPrepFullAccess
- AWS política gerenciada: AmazonSageMakerCanvasDirectDeployAccess
- AWS política gerenciada: AmazonSageMakerCanvas AIServices Acesso
- AWS política gerenciada: AmazonSageMakerCanvasBedrockAccess
- AWS política gerenciada: AmazonSageMakerCanvasForecastAccess
- AWS política gerenciada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
- AWS política gerenciada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
- Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Amazon SageMaker Canvas
AWS política gerenciada: AmazonSageMakerCanvasFullAccess
Essa política concede permissões que permitem acesso total ao Amazon SageMaker Canvas por meio do AWS Management Console SDK. A política também fornece acesso seleto a serviços relacionados [por exemplo, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon SageMaker Autopilot, Model Registry e Amazon AWS Secrets Manager Forecast SageMaker Forecast].
Esta política tem como objetivo ajudar os clientes a experimentar e começar com todos os recursos do SageMaker Canvas. Para um controle mais refinado, sugerimos que os clientes criem suas próprias versões com escopo reduzido à medida que migram para os workloads de produção. Para obter mais informações, consulte Tipos de política do IAM: como e quando usá-las
Detalhes das permissões
Essa política AWS gerenciada inclui as seguintes permissões.
-
sagemaker— Permite que os diretores criem e SageMaker hospedem modelos de IA em recursos cujo ARN contém “Canvas”, “tela” ou “compilação de modelos”. Além disso, os usuários podem registrar seu modelo SageMaker Canvas no SageMaker AI Model Registry na mesma AWS conta. Também permite que os diretores criem e gerenciem tarefas de SageMaker treinamento, transformação e AutoML. -
application-autoscaling— Permite que os diretores escalem automaticamente um endpoint de inferência de SageMaker IA. -
athena: permite que as entidades principais consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas do Amazon Athena, além de acessar tabelas em catálogos. -
cloudwatch— Permite que os diretores criem e gerenciem alarmes da Amazon CloudWatch . -
ec2: permite que as entidades principais criem endpoints da Amazon VPC. -
ecr: permite que as entidades principais obtenham informações sobre a imagem de um contêiner. -
emr-serverless: permite que as entidades principais criem e gerenciem aplicações e execuções de trabalho do Amazon EMR Sem Servidor. Também permite que os diretores marquem os recursos do SageMaker Canvas. -
forecast: permite que as entidades principais usem o Amazon Forecast. -
glue— permite que os diretores recuperem as tabelas, bancos de dados e partições no catálogo. AWS Glue -
iam— Permite que os diretores passem uma função do IAM para o Amazon SageMaker AI, o Amazon Forecast e o Amazon EMR Serverless. Também permite que as entidades principais criem um perfil vinculado a serviço. -
kms— Permite que os diretores leiam uma AWS KMS chave marcada comSource:SageMakerCanvas. -
logs: permite que as entidades principais publiquem logs de trabalhos de treinamento e endpoints. -
quicksight— Permite que os diretores listem os namespaces na conta da Amazon. QuickSight -
rds: permite que as entidades principais retornem informações sobre instâncias do Amazon RDS. -
redshift: permite que as entidades principais obtenham credenciais para um administrador “sagemaker_access*” em qualquer cluster do Amazon Redshift, se esse usuário existir. -
redshift-data: permite que as entidades principais executem consultas no Amazon Redshift usando a API de dados do Amazon Redshift. Isso só fornece acesso aos dados do Redshift em APIs si e não fornece acesso direto aos seus clusters do Amazon Redshift. Para obter mais informações, consulte Uso da API de dados do Amazon Redshift. -
s3: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker“, “Sagemaker” ou “sagemaker”. Também permite que os diretores recuperem objetos dos buckets do Amazon S3 cujo ARN começa com jumpstart-cache-prod "-” em regiões específicas. -
secretsmanager: permite que as entidades principais armazenem as credenciais do cliente para se conectarem a um banco de dados do Snowflake usando o Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS política gerenciada: AmazonSageMakerCanvasDataPrepFullAccess
Essa política concede permissões que permitem acesso total à funcionalidade de preparação de dados do Amazon SageMaker Canvas. A política também fornece permissões de privilégio mínimo para os serviços que se integram à funcionalidade de preparação de dados [por exemplo, Amazon Simple Storage Service (Amazon S3), ( AWS Identity and Access Management IAM), Amazon EMR, Amazon, Amazon EventBridge Redshift, () e]. AWS Key Management Service AWS KMS AWS Secrets Manager
Detalhes das permissões
Essa política AWS gerenciada inclui as seguintes permissões.
-
sagemaker: permite que as entidades principais acessem trabalhos de processamento, trabalhos de treinamento, pipelines de inferência, trabalhos de AutoML e grupos de atributos. -
athena: permite que as entidades principais consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas do Amazon Athena. -
elasticmapreduce: permite que as entidades principais leiam e listem os clusters do Amazon EMR. -
emr-serverless: permite que as entidades principais criem e gerenciem aplicações e execuções de trabalho do Amazon EMR Sem Servidor. Também permite que os diretores marquem os recursos do SageMaker Canvas. -
events— Permite que os diretores criem, leiam, atualizem e adicionem metas às EventBridge regras da Amazon para trabalhos agendados. -
glue— Permite que os diretores obtenham e pesquisem tabelas de bancos de dados no AWS Glue catálogo. -
iam— Permite que os diretores passem uma função do IAM para o Amazon SageMaker AI e o Amazon EMR Serverless. EventBridge Também permite que as entidades principais criem um perfil vinculado a serviço. -
kms— permite que os diretores recuperem AWS KMS aliases armazenados em tarefas e endpoints e acessem a chave KMS associada. -
logs: permite que as entidades principais publiquem logs de trabalhos de treinamento e endpoints. -
redshift: permite que as entidades principais obtenham credenciais para acessar o banco de dados do Amazon Redshift. -
redshift-data: permite que as entidades principais executem, cancelem, descrevam, listem e obtenham os resultados das consultas do Amazon Redshift. Também permite que as entidades principais listem esquemas e tabelas do Amazon Redshift. -
s3: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker“, “Sagemaker” ou “sagemaker”; ou estão marcados com "SageMaker“, sem distinção entre maiúsculas e minúsculas. -
secretsmanager: permite que as entidades principais armazenem e recuperem credenciais da base de dados de cliente usando o Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS política gerenciada: AmazonSageMakerCanvasDirectDeployAccess
Essa política concede as permissões necessárias para que o Amazon SageMaker Canvas crie e gerencie endpoints do Amazon SageMaker AI.
Detalhes das permissões
Essa política AWS gerenciada inclui as seguintes permissões.
-
sagemaker— Permite que os diretores criem e gerenciem endpoints de SageMaker IA com um nome de recurso ARN que comece com “Canvas” ou “canvas”. -
cloudwatch— Permite que os diretores recuperem dados CloudWatch métricos da Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS política gerenciada: AmazonSageMakerCanvas AIServices Acesso
Essa política concede permissões para o Amazon SageMaker Canvas usar o Amazon Textract, o Amazon Rekognition, o Amazon Comprehend e o Amazon Bedrock.
Detalhes das permissões
Essa política AWS gerenciada inclui as seguintes permissões.
-
textract: permite que as entidades principais usem o Amazon Textract para detectar documentos, gastos e identidades em uma imagem. -
rekognition: permite que as entidades principais usem o Amazon Rekognition para detectar rótulos e texto em uma imagem. -
comprehend: permite que as entidades principais usem o Amazon Comprehend para detectar sentimentos, linguagem dominante e entidades de informações de identificação pessoal (PII) e nomeadas em um documento de texto. -
bedrock: permite que as entidades principais usem o Amazon Bedrock para listar e invocar modelos básicos. -
iam: permite que as entidades principais passem um perfil do IAM para o Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS política gerenciada: AmazonSageMakerCanvasBedrockAccess
Essa política concede as permissões normalmente necessárias para usar o Amazon SageMaker Canvas com o Amazon Bedrock.
Detalhes das permissões
Essa política AWS gerenciada inclui as seguintes permissões.
-
s3: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3 no diretório "sagemaker-*/Canvas".
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS política gerenciada: AmazonSageMakerCanvasForecastAccess
Essa política concede as permissões normalmente necessárias para usar o Amazon SageMaker Canvas com o Amazon Forecast.
Detalhes das permissões
Essa política AWS gerenciada inclui as seguintes permissões.
-
s3: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome começa com “sagemaker-”.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS política gerenciada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Essa política concede permissões ao Amazon EMR Serverless para AWS serviços, como o Amazon S3, usados pelo SageMaker Amazon Canvas para processamento de grandes volumes de dados.
Detalhes das permissões
Essa política AWS gerenciada inclui as seguintes permissões.
-
s3: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker" ou “sagemaker”; ou estão marcados com "SageMaker“, sem distinção entre maiúsculas e minúsculas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS política gerenciada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Essa política concede permissões aos usuários do Amazon SageMaker Canvas para iniciar conversas com o Amazon Q Developer. Esse recurso requer permissões tanto para o Amazon Q Developer quanto para o serviço SageMaker AI Data Science Assistant.
Detalhes das permissões
Essa política AWS gerenciada inclui as seguintes permissões.
-
q— Permite que os diretores enviem solicitações ao Amazon Q Developer. -
sagemaker-data-science-assistant— Permite que os diretores enviem solicitações para o serviço SageMaker Canvas Data Science Assistant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerDataScienceAssistantAccess", "Effect": "Allow", "Action": [ "sagemaker-data-science-assistant:SendConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AmazonQDeveloperAccess", "Effect": "Allow", "Action": [ "q:SendMessage", "q:StartConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Amazon SageMaker Canvas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do SageMaker Canvas desde que esse serviço começou a rastrear essas mudanças.
| Política | Versão | Alteração | Data |
|---|---|---|---|
|
AmazonSageMakerCanvasSMDataScienceAssistantAccess - Atualização em uma política existente |
2 |
Adicione a permissão |
14 de janeiro de 2025 |
|
AmazonSageMakerCanvasSMDataScienceAssistantAccess - Nova política |
1 |
Política inicial |
4 de dezembro de 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Atualização em uma política existente |
4 |
Adicione recurso à permissão |
16 de agosto de 2024 |
|
AmazonSageMakerCanvasFullAccess - Atualização em uma política existente |
11 |
Adicione recurso à permissão |
15 de agosto de 2024 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy - Nova política |
1 |
Política inicial |
26 de julho de 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Atualização em uma política existente |
3 |
Adicione as permissões |
18 de julho de 2024 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
10 |
Adicione as permissões Adicione as permissões Adicione permissões Adicione permissões Adicione as permissões |
9 de julho de 2024 |
|
AmazonSageMakerCanvasBedrockAccess - Nova política |
1 |
Política inicial |
2 de fevereiro de 2024 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
9 |
Adicione a permissão |
24 de janeiro de 2024 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
8 |
Adicione as permissões |
8 de dezembro de 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Atualização em uma política existente |
2 |
Pequena atualização para reforçar as intenções da política anterior, versão 1; nenhuma permissão foi adicionada ou excluída. |
7 de dezembro de 2023 |
|
AmazonSageMakerCanvasAIServicesAcesso - Atualização em uma política existente |
3 |
Adicione as permissões |
29 de novembro de 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Nova política |
1 |
Política inicial |
26 de outubro de 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess - Nova política |
1 |
Política inicial |
6 de outubro de 2023 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
7 |
Adicione permissões |
29 de setembro de 2023 |
|
AmazonSageMakerCanvasAIServicesAcesso - Atualização de uma política existente |
2 |
Adicione permissões |
29 de setembro de 2023 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
6 |
Adicione a permissão |
29 de agosto de 2023 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
5 |
Adicione permissões |
24 de julho de 2023 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
4 |
Adicione permissões |
4 de maio de 2023 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
3 |
Adicione permissões |
24 de março de 2023 |
|
AmazonSageMakerCanvasAIServicesAcesso - Nova política |
1 |
Política inicial |
23 de março de 2023 |
AmazonSageMakerCanvasFullAccess - Atualização de uma política existente |
2 |
Adicione a permissão |
6 de dezembro de 2022 |
AmazonSageMakerCanvasFullAccess - Nova política |
1 |
Política inicial |
8 de setembro de 2022 |
|
AmazonSageMakerCanvasForecastAccess - Nova política |
1 |
Política inicial |
24 de agosto de 2022 |
