As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Políticas gerenciadas para a Amazon SageMaker
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões necessárias. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia IAM do usuário.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess
AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço executa um novo recurso, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.
Importante
Recomendamos que você use a política mais restrita que permita executar seu caso de uso.
As seguintes políticas AWS gerenciadas, que você pode associar aos usuários em sua conta, são específicas da Amazon SageMaker:
-
AmazonSageMakerFullAccess
— Concede acesso total à Amazon SageMaker e aos recursos SageMaker geoespaciais e às operações apoiadas. Isso não fornece acesso irrestrito ao Amazon S3, mas é compatível com os buckets e objetos com tagssagemaker
específicas. Essa política permite que todas as IAM funções sejam passadas para a Amazon SageMaker, mas só permite que as IAM funções com AmazonSageMaker "" sejam passadas para os AWS RoboMaker serviços AWS Glue AWS Step Functions, e. -
AmazonSageMakerReadOnly
— Concede acesso somente para leitura aos recursos da Amazon SageMaker .
As seguintes políticas AWS gerenciadas podem ser anexadas aos usuários da sua conta, mas não são recomendadas:
-
AdministratorAccess
: concede todas as ações para todos os serviços da AWS e para todos os recursos na conta. -
DataScientist
: concede uma grande variedade de permissões para cobrir a maioria dos casos de uso (principalmente para análise e inteligência de negócios) encontrados pelos cientistas de dados.
Você pode revisar essas políticas de permissões entrando no IAM console e pesquisando-as.
Você também pode criar suas próprias IAM políticas personalizadas para permitir permissões para SageMaker ações e recursos da Amazon conforme necessário. É possível anexar essas políticas personalizadas aos usuários ou grupos que necessitam delas.
Tópicos
- AWS política gerenciada: AmazonSageMakerFullAccess
- AWS política gerenciada: AmazonSageMakerReadOnly
- AWS políticas gerenciadas para o Amazon SageMaker Canvas
- AWS políticas gerenciadas para a Amazon SageMaker Feature Store
- AWS políticas gerenciadas para o setor SageMaker geoespacial da Amazon
- AWS Políticas gerenciadas para Amazon SageMaker Ground Truth
- AWS políticas gerenciadas para a Amazon SageMaker HyperPod
- AWS Políticas gerenciadas para governança de SageMaker modelos
- AWS Políticas gerenciadas para registro de modelos
- AWS Políticas gerenciadas para SageMaker notebooks
- AWS Políticas gerenciadas para SageMaker oleodutos
- AWS Políticas gerenciadas para SageMaker projetos e JumpStart
- SageMaker Atualizações nas políticas AWS gerenciadas
AWS política gerenciada: AmazonSageMakerFullAccess
Essa política concede permissões administrativas que permitem ao principal acesso total a todos os recursos SageMaker e operações SageMaker geoespaciais e da Amazon. A política também fornece acesso seleto aos serviços relacionados. Essa política permite que todas as IAM funções sejam passadas para a Amazon SageMaker, mas só permite que as IAM funções com AmazonSageMaker "" sejam passadas para os AWS RoboMaker serviços AWS Glue AWS Step Functions, e. Essa política não inclui permissões para criar um SageMaker domínio da Amazon. Para obter informações sobre a política necessária para criar um domínio, consulte SageMaker Pré-requisitos completos da Amazon.
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
application-autoscaling
— Permite que os diretores escalem automaticamente um endpoint de inferência SageMaker em tempo real. -
athena
— Permite que os diretores consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas a partir de. Amazon Athena -
aws-marketplace
— Permite que os diretores visualizem as assinaturas do AWS AI Marketplace. Você precisa disso se quiser acessar o SageMaker software inscrito. AWS Marketplace -
cloudformation
— Permite que os diretores obtenham AWS CloudFormation modelos para usar SageMaker JumpStart soluções e pipelines. SageMaker JumpStartcria os recursos necessários para executar soluções end-to-end de aprendizado de máquina vinculadas SageMaker a outros AWS serviços. SageMaker O Pipelines cria novos projetos que são apoiados pelo Service Catalog. -
cloudwatch
— Permite que os diretores publiquem CloudWatch métricas, interajam com alarmes e enviem registros para o CloudWatch Logs em sua conta. -
codebuild
— Permite que os diretores armazenem AWS CodeBuild artefatos para SageMaker Pipelines e Projetos. -
codecommit
— Necessário para AWS CodeCommit integração com instâncias de SageMaker notebooks. -
cognito-idp
— Necessário para que o Amazon SageMaker Ground Truth defina força de trabalho e equipes de trabalho privadas. -
ec2
— Necessário SageMaker para gerenciar EC2 recursos e interfaces de rede da Amazon quando você especifica uma Amazon VPC para seus SageMaker trabalhos, modelos, endpoints e instâncias de notebook. -
ecr
— Necessário para extrair e armazenar artefatos do Docker para Amazon SageMaker Studio Classic (imagens personalizadas), treinamento, processamento, inferência em lote e endpoints de inferência. Isso também é necessário para usar seu próprio contêiner em SageMaker. Permissões adicionais para SageMaker JumpStart soluções são necessárias para criar e remover imagens personalizadas em nome dos usuários. -
elasticfilesystem
: permite que as entidades principais acessem o Amazon Elastic File System. Isso é necessário SageMaker para usar fontes de dados no Amazon Elastic File System para treinar modelos de aprendizado de máquina. -
fsx
— Permite que os diretores acessem a AmazonFSx. Isso é necessário SageMaker para usar fontes de dados na Amazon FSx para treinar modelos de aprendizado de máquina. -
glue
— Necessário para o pré-processamento do pipeline de inferência a partir de instâncias do SageMaker notebook. -
groundtruthlabeling
: necessário para trabalhos de rotulagem do Ground Truth. O endpointgroundtruthlabeling
é acessado pelo console do Ground Truth. -
iam
— Necessário para dar ao SageMaker console acesso às IAM funções disponíveis e criar funções vinculadas ao serviço. -
kms
— Necessário dar ao SageMaker console acesso às AWS KMS chaves disponíveis e recuperá-las para qualquer AWS KMS alias especificado em trabalhos e endpoints. -
lambda
: permite que as entidades principais invoquem e obtenham uma lista de funções do AWS Lambda . -
logs
— Necessário para permitir que SageMaker trabalhos e endpoints publiquem fluxos de registros. -
redshift
: permite que as entidades principais acessem as credenciais do cluster Amazon Redshift. -
redshift-data
: permite que as entidades principais usem dados do Amazon Redshift para executar, descrever e cancelar declarações; obter resultados de declarações; e listar esquemas e tabelas. -
robomaker
— Permite que os diretores tenham acesso total para criar, obter descrições e excluir aplicativos e trabalhos de AWS RoboMaker simulação. Isso também é necessário para executar exemplos de aprendizado por reforço em instâncias de cadernos. -
s3, s3express
— Permite que os diretores tenham acesso total aos recursos do Amazon S3 e do Amazon S3 Express relacionados, mas não a todos, SageMaker ao Amazon S3 ou ao Amazon S3 Express. -
sagemaker
— Permite que os diretores listem tags nos perfis de SageMaker usuário e adicionem tags a SageMaker aplicativos e espaços. Permite acesso somente às SageMaker definições de fluxo do sagemaker: WorkteamType “multidão privada” ou “multidão de fornecedores”. -
sagemaker
esagemaker-geospatial
— Permite que os diretores tenham acesso somente de leitura a SageMaker domínios e perfis de usuário. -
secretsmanager
: concede às entidades principais acesso total ao AWS Secrets Manager. As entidades principais podem criptografar, armazenar e recuperar credenciais com segurança para bancos de dados e outros serviços. Isso também é necessário para instâncias de SageMaker notebook com repositórios de SageMaker código que usam GitHub. -
servicecatalog
: permite que as entidades principais usem o Service Catalog. Os diretores podem criar, obter uma lista, atualizar ou encerrar produtos provisionados, como servidores, bancos de dados, sites ou aplicativos implantados usando recursos. AWS Isso é necessário para que a SageMaker JumpStart And Projects encontre e leia os produtos do catálogo de serviços e lance AWS recursos nos usuários. -
sns
— Permite que os diretores obtenham uma lista de SNS tópicos da Amazon. Isso é necessário para endpoints com inferência assíncrona habilitada para notificar os usuários de que sua inferência foi concluída. -
states
— Necessário para SageMaker JumpStart que os Pipelines usem um catálogo de serviços para criar recursos de função de etapas. -
tag
— Necessário para que SageMaker os pipelines sejam renderizados no Studio Classic. O Studio Classic precisa de recursos marcados com uma chavesagemaker:project-id
de tag específica. Isso requer a permissãotag:GetResources
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllNonAdminSageMakerActions", "Effect": "Allow", "Action": [ "sagemaker:*", "sagemaker-geospatial:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:space/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Sid": "AllowAddTagsForSpace", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:space/*" ], "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } }, { "Sid": "AllowAddTagsForApp", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:app/*" ] }, { "Sid": "AllowStudioActions", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:DescribeSpace", "sagemaker:ListSpaces", "sagemaker:DescribeApp", "sagemaker:ListApps" ], "Resource": "*" }, { "Sid": "AllowAppActionsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "AllowAppActionsForSharedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "StringEquals": { "sagemaker:SpaceSharingType": [ "Shared" ] } } }, { "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "Null": { "sagemaker:OwnerUserProfileArn": "true" } } }, { "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:UpdateSpace", "sagemaker:DeleteSpace" ], "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private", "Shared" ] } } }, { "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile", "Effect": "Allow", "Action": [ "sagemaker:CreateApp", "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*", "Condition": { "ArnLike": { "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}" }, "StringEquals": { "sagemaker:SpaceSharingType": [ "Private" ] } } }, { "Sid": "AllowFlowDefinitionActions", "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Sid": "AllowAWSServiceActions", "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Sid": "AllowECRActions", "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Sid": "AllowCodeCommitActions", "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Sid": "AllowCodeBuildActions", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Sid": "AllowStepFunctionsActions", "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Sid": "AllowSecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "AllowReadOnlySecretManagerActions", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "AllowServiceCatalogProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct", "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Sid": "AllowS3ObjectActions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag", "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": [ "arn:aws:s3:::*" ], "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AllowS3BucketActions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Sid": "AllowS3BucketACL", "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "AllowLambdaInvokeFunction", "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AllowCreateServiceLinkedRoleForRobomaker", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Sid": "AllowSNSActions", "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Sid": "AllowPassRoleForSageMakerRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Sid": "AllowPassRoleToSageMaker", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "AllowAthenaActions", "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "AllowGlueCreateTable", "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueUpdateTable", "Effect": "Allow", "Action": [ "glue:UpdateTable" ], "Resource": [ "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore" ] }, { "Sid": "AllowGlueDeleteTable", "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetTablesAndDatabases", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "AllowGlueGetAndCreateDatabase", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Sid": "AllowRedshiftDataActions", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Sid": "AllowRedshiftGetClusterCredentials", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "AllowListTagsForUserProfile", "Effect": "Allow", "Action": [ "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:user-profile/*" ] }, { "Sid": "AllowCloudformationListStackResources", "Effect": "Allow", "Action": [ "cloudformation:ListStackResources" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AllowS3ExpressObjectActions", "Effect": "Allow", "Action": [ "s3express:CreateSession" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*", "arn:aws:s3express:*:*:bucket/*aws-glue*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressCreateBucketActions", "Effect": "Allow", "Action": [ "s3express:CreateBucket" ], "Resource": [ "arn:aws:s3express:*:*:bucket/*SageMaker*", "arn:aws:s3express:*:*:bucket/*Sagemaker*", "arn:aws:s3express:*:*:bucket/*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowS3ExpressListBucketActions", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets" ], "Resource": "*" } ] }
AWS política gerenciada: AmazonSageMakerReadOnly
Esta política concede acesso somente para leitura à Amazon SageMaker por meio do e. AWS Management Console SDK
Detalhes das permissões
Esta política inclui as seguintes permissões:
-
application-autoscaling
— Permite que os usuários procurem descrições de endpoints de inferência escaláveis SageMaker em tempo real. -
aws-marketplace
— Permite que os usuários visualizem as assinaturas do AWS AI Marketplace. -
cloudwatch
— Permite que os usuários recebam CloudWatch alarmes. -
cognito-idp
— Necessário para que o Amazon SageMaker Ground Truth busque descrições e listas de funcionários e equipes de trabalho privadas. -
ecr
: necessário para extrair e armazenar artefatos do Docker para treinamento e inferência.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }
SageMaker Atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas SageMaker desde que esse serviço começou a rastrear essas alterações.
Política | Version (Versão) | Alteração | Data |
---|---|---|---|
AmazonSageMakerFullAccess - Atualização em uma política existente |
26 |
Adicione a permissão |
29 de março de 2024 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
25 |
Adicione |
30 de novembro de 2023 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
24 |
Adicione permissões |
30 de novembro de 2022 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
23 |
Adicionar |
29 de junho de 2022 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
22 |
Adicionar |
1.º de maio de 2022 |
AmazonSageMakerReadOnly - Atualização em uma política existente |
11 |
Adicione permissões |
1º de dezembro de 2021 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
21 |
Adicione |
8 de setembro de 2021 |
AmazonSageMakerFullAccess - Atualização de uma política existente |
20 |
Atualize recursos e permissões de |
15 de julho de 2021 |
AmazonSageMakerReadOnly - Atualização de uma política existente |
10 |
Novo API |
10 de junho de 2021 |
SageMaker começou a rastrear as mudanças em suas políticas AWS gerenciadas. |
1º de junho de 2021 |