AWS Verwaltete Richtlinien für SageMaker-Notebooks - Amazon SageMaker AI
AmazonSageMakerNotebooksServiceRolePolicyAktualisierungen der Richtlinien für SageMaker Notebooks

AWS Verwaltete Richtlinien für SageMaker-Notebooks

Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von SageMaker Notebooks erforderlich sind. Die Richtlinien sind in Ihrem AWS-Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker-AI-Konsole erstellt wurden.

AWS Verwaltete Richtlinie: AmazonSageMakerNotebooksServiceRolePolicy

Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von Amazon SageMaker Notebooks erforderlich sind. Die Richtlinie wird zu den AWSServiceRoleForAmazonSageMakerNotebooks hinzugefügt, die beim Einsteigen in Amazon SageMaker Studio Classic erstellt wird. Weitere Informationen zu dienstgebundenen Rollen finden Sie unter Service-verknüpfte Rollen. Weitere Informationen finden Sie unter AmazonSageMakerNotebooksServiceRolePolicy

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • elasticfilesystem – Ermöglicht Prinzipalen das Erstellen und Löschen von Amazon Elastic File System (EFS) -Dateisystemen, Access Points und Mount-Zielen. Diese sind auf diejenigen beschränkt, die mit dem Schlüssel ManageByAmazonSageMakerResource gekennzeichnet sind. Ermöglicht Prinzipalen die Beschreibung aller EFS-Dateisysteme, Access Points und Mount-Ziele. Ermöglicht Prinzipalen, Tags für EFS-Zugriffspunkte und Mount-Ziele zu erstellen oder zu überschreiben.

  • ec2 – Ermöglicht Prinzipalen das Erstellen von Netzwerkschnittstellen und Sicherheitsgruppen für Amazon Elastic Compute Cloud (EC2)-Instances. Außerdem können Prinzipale Tags für diese Ressourcen erstellen und überschreiben.

  • sso – Ermöglicht Prinzipalen das Hinzufügen und Löschen von verwalteten Anwendungs-Instances zu AWS IAM Identity Center.

  • sagemaker— Ermöglicht es Prinzipalen, SageMaker AI-Benutzerprofile und SageMaker AI-Bereiche zu erstellen und zu lesen, SageMaker AI-Bereiche und SageMaker AI-Apps zu löschen sowie Tags hinzuzufügen und aufzulisten.

  • fsx— Ermöglicht Prinzipalen, das Amazon FSx for Lustre-Dateisystem zu beschreiben und die Metadaten zu verwenden, um es auf dem Notebook zu mounten.

{
    "Version": "2012-10-17",
    "Statement": [
        {   
            "Sid": "AllowFSxDescribe",
            "Effect": "Allow",
            "Action": [
                "fsx:DescribeFileSystems",
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Notebooks

Sehen Sie sich Details über Aktualisierungen an von verwalteten AWS-Richtlinien für Amazon SageMaker AI an, seit der Service diese Änderungen nachverfolgt.

Richtlinie Version Änderung Datum

AmazonSageMakerNotebooksServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

10

fsx:DescribeFileSystems Berechtigung hinzufügen.

 14. November 2024

AmazonSageMakerNotebooksServiceRolePolicy – Aktualisierung auf eine bestehende Richtlinie

9

sagemaker:DeleteApp Berechtigung hinzufügen.

 24. Juli 2024

AmazonSageMakerNotebooksServiceRolePolicy — Aktualisierung auf eine bestehende Richtlinie

8

Fügen Sie sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTags und sagemaker:AddTags Berechtigungen hinzu.

 22. Mai 2024

AmazonSageMakerNotebooksServiceRolePolicy — Aktualisierung auf eine bestehende Richtlinie

7

elasticfilesystem:TagResource Berechtigung hinzufügen.

 9. März 2023

AmazonSageMakerNotebooksServiceRolePolicy — Aktualisierung auf eine bestehende Richtlinie

6

Fügen Sie elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPoint und elasticfilesystem:DescribeAccessPoints Berechtigungen hinzu.

 12. Januar 2023

SageMaker AI begann mit der Verfolgung von Änderungen für seine verwalteten AWS-Richtlinien.

 1. Juni 2021