As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Políticas gerenciadas para a Amazon SageMaker
Para adicionar permissões a usuários, grupos e funções, é mais fácil de usar AWS políticas gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões de que precisam. Para começar rapidamente, você pode usar nosso AWS políticas gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em AWS conta. Para obter mais informações sobre AWS políticas gerenciadas, consulte AWS políticas gerenciadas no Guia IAM do usuário.
AWS manutenção e atualização de serviços AWS políticas gerenciadas. Você não pode alterar as permissões no AWS políticas gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a um AWS política gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem um AWS política gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem permissões de um AWS política gerenciada, para que as atualizações de políticas não violem suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, as receitas ReadOnlyAccess AWS a política gerenciada fornece acesso somente de leitura a todos AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte AWS políticas gerenciadas para funções de trabalho no Guia IAM do usuário.
Importante
Recomendamos que você use a política mais restrita que permita executar seu caso de uso.
Os seguintes exemplos de AWS as políticas gerenciadas, que você pode associar aos usuários em sua conta, são específicas da Amazon SageMaker:
-
AmazonSageMakerFullAccess— Concede acesso total à Amazon SageMaker e aos recursos SageMaker geoespaciais e às operações apoiadas. Isso não fornece acesso irrestrito ao Amazon S3, mas é compatível com os buckets e objetos com tagssagemakerespecíficas. Essa política permite que todas as IAM funções sejam passadas para a Amazon SageMaker, mas só permite que as IAM funções com AmazonSageMaker "" sejam passadas para a AWS Glue, AWS Step Functions e AWS RoboMaker serviços. -
AmazonSageMakerReadOnly— Concede acesso somente para leitura aos recursos da Amazon SageMaker .
Os seguintes exemplos de AWS políticas gerenciadas podem ser anexadas aos usuários da sua conta, mas não são recomendadas:
-
AdministratorAccess— Concede todas as ações para todos AWS serviços e para todos os recursos da conta. -
DataScientist: concede uma grande variedade de permissões para cobrir a maioria dos casos de uso (principalmente para análise e inteligência de negócios) encontrados pelos cientistas de dados.
Você pode revisar essas políticas de permissões entrando no IAM console e pesquisando-as.
Você também pode criar suas próprias IAM políticas personalizadas para permitir permissões para SageMaker ações e recursos da Amazon conforme necessário. É possível anexar essas políticas personalizadas aos usuários ou grupos que necessitam delas.
Tópicos
- AWS política gerenciada: AmazonSageMakerFullAccess
- AWS política gerenciada: AmazonSageMakerReadOnly
- AWS políticas gerenciadas para o Amazon SageMaker Canvas
- AWS políticas gerenciadas para a Amazon SageMaker Feature Store
- AWS políticas gerenciadas para o setor SageMaker geoespacial da Amazon
- AWS Políticas gerenciadas para Amazon SageMaker Ground Truth
- AWS políticas gerenciadas para a Amazon SageMaker HyperPod
- AWS Políticas gerenciadas para governança de SageMaker modelos
- AWS Políticas gerenciadas para registro de modelos
- AWS Políticas gerenciadas para SageMaker notebooks
- AWS Políticas gerenciadas para SageMaker oleodutos
- AWS Políticas gerenciadas para SageMaker projetos e JumpStart
- SageMaker Atualizações para AWS Políticas gerenciadas
AWS política gerenciada: AmazonSageMakerFullAccess
Essa política concede permissões administrativas que permitem ao principal acesso total a todos os recursos SageMaker e operações SageMaker geoespaciais e da Amazon. A política também fornece acesso seleto aos serviços relacionados. Essa política permite que todas as IAM funções sejam passadas para a Amazon SageMaker, mas só permite que as IAM funções com AmazonSageMaker "" sejam passadas para a AWS Glue, AWS Step Functions e AWS RoboMaker serviços. Essa política não inclui permissões para criar um SageMaker domínio da Amazon. Para obter informações sobre a política necessária para criar um domínio, consulte SageMaker Pré-requisitos da Amazon.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
application-autoscaling— Permite que os diretores escalem automaticamente um endpoint de inferência SageMaker em tempo real. -
athena— Permite que os diretores consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas de Amazon Athena. -
aws-marketplace— Permite que os diretores vejam AWS Assinaturas do AI Marketplace. Você precisa disso se quiser acessar o SageMaker software inscrito em AWS Marketplace. -
cloudformation— Permite que os diretores obtenham AWS CloudFormation modelos para usar SageMaker JumpStart soluções e pipelines. SageMaker JumpStartcria os recursos necessários para executar soluções end-to-end de aprendizado de máquina vinculadas SageMaker a outras AWS serviços. SageMaker O Pipelines cria novos projetos que são apoiados pelo Service Catalog. -
cloudwatch— Permite que os diretores publiquem CloudWatch métricas, interajam com alarmes e enviem registros para o CloudWatch Logs em sua conta. -
codebuild— Permite que os diretores armazenem AWS CodeBuild artefatos para SageMaker Pipelines e Projetos. -
codecommit— Necessário para AWS CodeCommit integração com instâncias de SageMaker notebook. -
cognito-idp— Necessário para que o Amazon SageMaker Ground Truth defina força de trabalho e equipes de trabalho privadas. -
ec2— Necessário SageMaker para gerenciar EC2 recursos e interfaces de rede da Amazon quando você especifica uma Amazon VPC para seus SageMaker trabalhos, modelos, endpoints e instâncias de notebook. -
ecr— Necessário para extrair e armazenar artefatos do Docker para Amazon SageMaker Studio Classic (imagens personalizadas), treinamento, processamento, inferência em lote e endpoints de inferência. Isso também é necessário para usar seu próprio contêiner em SageMaker. Permissões adicionais para SageMaker JumpStart soluções são necessárias para criar e remover imagens personalizadas em nome dos usuários. -
elastic-inference— Permite que os diretores se conectem ao Amazon Elastic Inference para SageMaker usar instâncias de notebook e endpoints. -
elasticfilesystem: permite que as entidades principais acessem o Amazon Elastic File System. Isso é necessário SageMaker para usar fontes de dados no Amazon Elastic File System para treinar modelos de aprendizado de máquina. -
fsx— Permite que os diretores acessem a AmazonFSx. Isso é necessário SageMaker para usar fontes de dados na Amazon FSx para treinar modelos de aprendizado de máquina. -
glue— Necessário para o pré-processamento do pipeline de inferência a partir de instâncias do SageMaker notebook. -
groundtruthlabeling: necessário para trabalhos de rotulagem do Ground Truth. O endpointgroundtruthlabelingé acessado pelo console do Ground Truth. -
iam— Necessário para dar ao SageMaker console acesso às IAM funções disponíveis e criar funções vinculadas ao serviço. -
kms— Necessário para dar ao SageMaker console acesso aos disponíveis AWS KMS chaves e recupere-as para qualquer chave especificada AWS KMS aliases em trabalhos e endpoints. -
lambda— Permite que os diretores invoquem e obtenham uma lista de AWS Lambda funções. -
logs— Necessário para permitir que SageMaker trabalhos e endpoints publiquem fluxos de registros. -
redshift: permite que as entidades principais acessem as credenciais do cluster Amazon Redshift. -
redshift-data: permite que as entidades principais usem dados do Amazon Redshift para executar, descrever e cancelar declarações; obter resultados de declarações; e listar esquemas e tabelas. -
robomaker— Permite que os diretores tenham acesso total para criar, obter descrições e excluir AWS RoboMaker aplicações e trabalhos de simulação. Isso também é necessário para executar exemplos de aprendizado por reforço em instâncias de cadernos. -
s3, s3express— Permite que os diretores tenham acesso total aos recursos do Amazon S3 e do Amazon S3 Express relacionados, mas não a todos, SageMaker ao Amazon S3 ou ao Amazon S3 Express. -
sagemaker— Permite que os diretores listem tags nos perfis de SageMaker usuário e adicionem tags a SageMaker aplicativos e espaços. Permite acesso somente às SageMaker definições de fluxo do sagemaker: WorkteamType “multidão privada” ou “multidão de fornecedores”. -
sagemakeresagemaker-geospatial— Permite que os diretores tenham acesso somente de leitura a SageMaker domínios e perfis de usuário. -
secretsmanager— Permite que os diretores tenham acesso total a AWS Secrets Manager. Os diretores podem criptografar, armazenar e recuperar com segurança as credenciais de bancos de dados e outros serviços. Isso também é necessário para instâncias de SageMaker notebook com repositórios de SageMaker código que usam GitHub. -
servicecatalog: permite que as entidades principais usem o Service Catalog. Os diretores podem criar, obter uma lista, atualizar ou encerrar produtos provisionados, como servidores, bancos de dados, sites ou aplicativos implantados usando AWS recursos. Isso é necessário para que os SageMaker JumpStart Projetos encontrem e leiam serviços, catálogos, produtos e lançem. AWS recursos em usuários. -
sns— Permite que os diretores obtenham uma lista de SNS tópicos da Amazon. Isso é necessário para endpoints com inferência assíncrona habilitada para notificar os usuários de que sua inferência foi concluída. -
states— Necessário para SageMaker JumpStart que os Pipelines usem um catálogo de serviços para criar recursos de função de etapas. -
tag— Necessário para que SageMaker os pipelines sejam renderizados no Studio Classic. O Studio Classic precisa de recursos marcados com uma chavesagemaker:project-idde tag específica. Isso requer a permissãotag:GetResources.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS política gerenciada: AmazonSageMakerReadOnly
Essa política concede acesso somente de leitura à Amazon SageMaker por meio do AWS Management Console SDKe.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
application-autoscaling— Permite que os usuários procurem descrições de endpoints de inferência escaláveis SageMaker em tempo real. -
aws-marketplace— Permite que os usuários visualizem AWS Assinaturas do AI Marketplace. -
cloudwatch— Permite que os usuários recebam CloudWatch alarmes. -
cognito-idp— Necessário para que o Amazon SageMaker Ground Truth busque descrições e listas de funcionários e equipes de trabalho privadas. -
ecr: necessário para extrair e armazenar artefatos do Docker para treinamento e inferência.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker Atualizações para AWS Políticas gerenciadas
Exibir detalhes sobre as atualizações do AWS políticas gerenciadas SageMaker desde que esse serviço começou a rastrear essas mudanças.
| Política | Version (Versão) | Alteração | Data |
|---|---|---|---|
AmazonSageMakerFullAccess - Atualização em uma política existente |
26 |
Adicione a permissão |
29 de março de 2024 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
25 |
Adicione |
30 de novembro de 2023 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
24 |
Adicione permissões |
30 de novembro de 2022 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
23 |
Adicionar |
29 de junho de 2022 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
22 |
Adicionar |
1.º de maio de 2022 |
AmazonSageMakerReadOnly - Atualização em uma política existente |
11 |
Adicione permissões |
1º de dezembro de 2021 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
21 |
Adicione |
8 de setembro de 2021 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
20 |
Atualize recursos e permissões de |
15 de julho de 2021 |
AmazonSageMakerReadOnly - Atualização de uma política existente |
10 |
Novo API |
10 de junho de 2021 |
|
SageMaker começou a rastrear as mudanças em seu AWS políticas gerenciadas. |
1º de junho de 2021 |
