AWS Políticas gerenciadas para SageMaker notebooks - Amazon SageMaker
AmazonSageMakerNotebooksServiceRolePolicySageMaker Atualizações da política de notebooks

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Políticas gerenciadas para SageMaker notebooks

Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar os SageMaker Notebooks. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no SageMaker console.

AWS política gerenciada: AmazonSageMakerNotebooksServiceRolePolicy

Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o Amazon SageMaker Notebooks. A política é adicionada à AWSServiceRoleForAmazonSageMakerNotebooks que é criada quando você se integra ao Amazon SageMaker Studio Classic. Para obter mais informações sobre os perfis vinculados ao serviço, consulte Funções vinculadas ao serviço.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • elasticfilesystem— Permite que os diretores criem e excluam sistemas de arquivos, pontos de acesso e destinos de montagem do Amazon Elastic File System (EFS). Eles são limitados aos marcados com a chave ManagedByAmazonSageMakerResource. Permite que os diretores descrevam todos os sistemas de EFS arquivos, pontos de acesso e destinos de montagem. Permite que os diretores criem ou sobrescrevam tags para pontos de EFS acesso e alvos de montagem.

  • ec2— Permite que os diretores criem interfaces de rede e grupos de segurança para instâncias do Amazon Elastic Compute Cloud (EC2). Também permite que as entidades principais criem e substituam tags para esses recursos.

  • sso: permite que as entidades principais adicionem e excluam instâncias de aplicações gerenciadas em . AWS IAM Identity Center

  • sagemaker— Permite que os diretores criem e leiam perfis e SageMaker espaços de SageMaker usuário e excluam SageMaker espaços e SageMaker aplicativos. Também permite que os diretores adicionem e listem tags.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker atualiza as políticas gerenciadas de SageMaker notebooks

Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker desde que esse serviço começou a monitorar essas mudanças.

Política Version (Versão) Alteração Data

AmazonSageMakerNotebooksServiceRolePolicy - Atualização em uma política existente

9

Adicione a permissão sagemaker:DeleteApp.

 24 de julho de 2024

AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente

8

Adicione permissões sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTags e sagemaker:AddTags.

 22 de maio de 2024

AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente

7

Adicione a permissão elasticfilesystem:TagResource.

 9 de março de 2023

AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente

6

Adicione permissões elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPoint e elasticfilesystem:DescribeAccessPoints.

 12 de janeiro de 2023

SageMaker começou a rastrear as mudanças em suas políticas AWS gerenciadas.

 1º de junho de 2021