AWS Políticas gerenciadas para SageMaker notebooks - Amazon SageMaker
AmazonSageMakerNotebooksServiceRolePolicySageMaker Atualizações da política de notebooks

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Políticas gerenciadas para SageMaker notebooks

Esses AWS políticas gerenciadas adicionam as permissões necessárias para usar SageMaker notebooks. As políticas estão disponíveis em seu AWS conta e são usados por funções de execução criadas a partir do SageMaker console.

AWS política gerenciada: AmazonSageMakerNotebooksServiceRolePolicy

Esse AWS a política gerenciada concede as permissões normalmente necessárias para usar o Amazon SageMaker Notebooks. A política é adicionada à AWSServiceRoleForAmazonSageMakerNotebooks que é criada quando você se integra ao Amazon SageMaker Studio Classic. Para obter mais informações sobre os perfis vinculados ao serviço, consulte Funções vinculadas ao serviço.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • elasticfilesystem— Permite que os diretores criem e excluam sistemas de arquivos, pontos de acesso e destinos de montagem do Amazon Elastic File System (EFS). Eles são limitados aos marcados com a chave ManagedByAmazonSageMakerResource. Permite que os diretores descrevam todos os sistemas de EFS arquivos, pontos de acesso e destinos de montagem. Permite que os diretores criem ou sobrescrevam tags para pontos de EFS acesso e alvos de montagem.

  • ec2— Permite que os diretores criem interfaces de rede e grupos de segurança para instâncias do Amazon Elastic Compute Cloud (EC2). Também permite que as entidades principais criem e substituam tags para esses recursos.

  • sso— Permite que os diretores adicionem e excluam instâncias de aplicativos gerenciados em AWS IAM Identity Center.

  • sagemaker— Permite que os diretores criem e leiam perfis e SageMaker espaços de SageMaker usuário; e excluam SageMaker espaços e SageMaker aplicativos. Também permite que os diretores adicionem e listem tags.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker atualiza as políticas gerenciadas de SageMaker notebooks

Exibir detalhes sobre as atualizações do AWS gerenciei políticas para a Amazon SageMaker desde que esse serviço começou a rastrear essas mudanças.

Política Version (Versão) Alteração Data

AmazonSageMakerNotebooksServiceRolePolicy - Atualização em uma política existente

9

Adicione a permissão sagemaker:DeleteApp.

 24 de julho de 2024

AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente

8

Adicione permissões sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTags e sagemaker:AddTags.

 22 de maio de 2024

AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente

7

Adicione a permissão elasticfilesystem:TagResource.

 9 de março de 2023

AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente

6

Adicione permissões elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPoint e elasticfilesystem:DescribeAccessPoints.

 12 de janeiro de 2023

SageMaker começou a rastrear as mudanças em seu AWS políticas gerenciadas.

 1º de junho de 2021