Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon SageMaker AI konfigurieren
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Weitere Informationen zu den Compliance-Programmen, die für Amazon SageMaker AI gelten, finden Sie unter [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von SageMaker KI anwenden können. In den folgenden Themen erfahren Sie, wie Sie SageMaker KI konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer SageMaker KI-Ressourcen helfen.
**Topics**
+ [Datenschutz in Amazon SageMaker AI](data-privacy.md)
+ [Datenschutz in Amazon SageMaker AI](data-protection.md)
+ [AWS Identity and Access Management für Amazon SageMaker AI](security-iam.md)
+ [Protokollieren und Überwachen](sagemaker-incident-response.md)
+ [Konformitätsvalidierung für Amazon SageMaker AI](sagemaker-compliance.md)
+ [Resilienz in Amazon SageMaker AI](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon SageMaker AI](infrastructure-security.md)
# Datenschutz in Amazon SageMaker AI
Amazon SageMaker AI sammelt aggregierte Informationen über die Nutzung von eigenen Bibliotheken und AWS Open-Source-Bibliotheken, die während der Schulung verwendet werden. SageMaker KI verwendet diese aggregierten Metadaten, um den Service und das Kundenerlebnis zu verbessern.
In den folgenden Abschnitten wird erklärt, welche Art von Metadaten SageMaker KI erfasst, und wie Sie sich von der Metadatenerfassung abmelden können.
## Arten von erfassten Informationen
**Nutzungsinformationen**
Metadaten aus AWS eigenen Bibliotheken und Open-Source-Bibliotheken, die für SageMaker Schulungen verwendet werden, z. B. solche, die für verteilte Schulungen, Kompilierung und Quantisierung verwendet werden.
**Fehler**
Fehler, die auf unerwartetes Verhalten zurückzuführen sind, einschließlich Ausfällen, Abstürzen, Kaskaden und Ausfällen, die auf die Interaktion mit der Schulungsplattform zurückzuführen sind. SageMaker
## Wie kann ich die Erfassung von Metadaten deaktivieren
Sie können die gemeinsame Nutzung aggregierter Metadaten für SageMaker Schulungen deaktivieren, wenn Sie mithilfe der API einen Schulungsjob erstellen. `CreateTrainingJob` Wenn Sie die Konsole zum Erstellen von Trainingsjobs verwenden, ist die Metadatenerfassung standardmäßig deaktiviert.
**Wichtig**
Sie müssen sich für jeden Trainingsjob, den Sie einreichen, dafür entscheiden, die Metadatenerfassung zu deaktivieren. Sie müssen sich auch in einem API-Aufruf abmelden, wie in den folgenden Beispielen dargestellt. Sie können sich nicht innerhalb eines Schulungsskripts dafür entscheiden, sich abzumelden.
Der folgende Abschnitt zeigt, wie Sie die Metadatensammlung mit dem AWS CLI AWS SDK für Python (Boto3), oder dem SageMaker Python-SDK deaktivieren können.
### Deaktivieren Sie die Metadatensammlung mithilfe von AWS Command Line Interface (AWS CLI)
Um die Erfassung von Metadaten mithilfe von zu deaktivieren AWS CLI, setzen Sie die Umgebungsvariable `OPT_OUT_TRACKING` `1` in der `create-training-job` API auf, wie im folgenden Codebeispiel gezeigt.
```
aws sagemaker create-training-job \
--training-job-name your_job_name \
--algorithm-specification AlgorithmName=your_algorithm_name\
--output-data-config S3OutputPath=s3://bucket-name/key-name-prefix \
--resource-config InstanceType=ml.c5.xlarge, InstanceCount=1 \
--stopping-condition MaxRuntimeInSeconds=100 \
--environment OPT_OUT_TRACKING=1
```
### Deaktivieren Sie die Metadatenerfassung mit dem AWS SDK für Python (Boto3)
Um die Metadatensammlung mit dem SDK for Python (Boto3) `OPT_OUT_TRACKING` zu deaktivieren, setzen Sie die Umgebungsvariable `1` in der `create_training_job` API auf, wie im folgenden Codebeispiel gezeigt.
```
boto3.client('sagemaker').create_training_job(
TrainingJobName='your_training_job',
AlgorithmSpecification={
'AlgorithmName': 'your_algorithm_name',
'TrainingInputMode': 'File',
},
RoleArn='your_arn',
OutputDataConfig={
'S3OutputPath': 's3://bucket-name/key-name-prefix',
},
ResourceConfig={
'InstanceType': 'ml.m4.xlarge',
'InstanceCount': 1,
'VolumeSizeInGB': 123,
},
StoppingCondition={
'MaxRuntimeInSeconds': 123,
},
Environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Deaktivieren Sie die Metadatensammlung mit dem SageMaker Python-SDK
Um die Erfassung von Metadaten mithilfe des SageMaker Python-SDK zu deaktivieren, setzen Sie die Umgebungsvariable `OPT_OUT_TRACKING` auf `1` innerhalb eines SageMaker AI-Schätzers, wie im folgenden Codebeispiel gezeigt.
```
sagemaker.estimator(
image_uri='path_to_container',
role='rolearn',
instance_count=1,
instance_type='ml.c5.xlarge',
environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Deaktiviere die kontoweite Erfassung von Metadaten
Wenn Sie die Erfassung von Metadaten für mehrere Konten deaktivieren möchten, können Sie eine Umgebungsvariable festlegen, um die kontoweite Nachverfolgung zu deaktivieren. Sie müssen das SageMaker AI Python SDK verwenden, um die Metadatenerfassung auf Kontoebene zu deaktivieren.
Das folgende Codebeispiel zeigt, wie Sie die kontoweite Verfolgung abmelden.
```
SchemaVersion: '1.0'
SageMaker:
TrainingJob:
Environment:
'OPT_OUT_TRACKING': '1'
```
Weitere Informationen dazu, wie Sie das kontoweite Tracking deaktivieren können, finden Sie unter [Konfiguration und Verwendung von Standardeinstellungen mit dem SageMaker ](https://sagemaker.readthedocs.io/en/stable/overview.html#id22) Python-SDK.
## Zusätzliche Informationen
**Wenn Ihr nachgelagerter Dienst von KI-Schulungen abhängt SageMaker **
Wenn Sie einen Dienst betreiben, der auf SageMaker Schulungen angewiesen ist, wird dringend empfohlen, dass Sie Ihren Kunden über die Erfassung aggregierter Metadaten auf der SageMaker Schulungsplattform informieren und ihm die Möglichkeit geben, sich abzumelden. Alternativ können Sie die Erfassung von Metadaten im Namen Ihres Kunden deaktivieren.
**Wenn Sie Kunde oder Kunde eines Dienstes sind, der SageMaker KI-Schulungen nutzt**
Wenn Sie Kunde oder Kunde eines Dienstes sind, der SageMaker Schulungen nutzt, verwenden Sie Ihre bevorzugte Methode aus dem vorherigen Abschnitt, um die Erfassung von Metadaten zu deaktivieren.
# Datenschutz in Amazon SageMaker AI
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in Amazon SageMaker AI. Wie in diesem Modell beschrieben, AWS ist es verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon SageMaker AI oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
**Topics**
+ [Schützen von Daten im Ruhezustand mithilfe von Verschlüsselung](encryption-at-rest.md)
+ [Schützen von Daten während der Übertragung mit Verschlüsselung](encryption-in-transit.md)
+ [Schlüsselverwaltung](key-management.md)
+ [Richtlinie für den Datenverkehr zwischen Netzwerken](inter-network-privacy.md)
# Schützen von Daten im Ruhezustand mithilfe von Verschlüsselung
Amazon SageMaker AI verschlüsselt Ihre Daten automatisch standardmäßig mit einem Von AWS verwalteter Schlüssel für Amazon S3 (SSE-S3) für die folgenden Funktionen: Studio-Notebooks, Notebook-Instances, Modellerstellungsdaten, Modellartefakte und Ausgabe von Trainings-, Batch Transform- und Verarbeitungsjobs.
Für den kontoübergreifenden Zugriff müssen Sie bei der Erstellung von SageMaker KI-Ressourcen Ihren eigenen, vom Kunden verwalteten Schlüssel angeben, da der Standard Von AWS verwalteter Schlüssel für Amazon S3 nicht von allen Konten gemeinsam genutzt werden kann. Für die Datenausgabe an Amazon S3 Express One Zone werden die Daten mit serverseitiger Verschlüsselung über Amazon S3 verwaltete Schlüssel (SSE-S3) verschlüsselt. Darüber hinaus kann die Datenausgabe in Amazon S3 S3-Verzeichnis-Buckets nicht mit serverseitiger Verschlüsselung mithilfe von AWS Key Management Service Schlüsseln (SSE-KMS) verschlüsselt werden. [Weitere Informationen zu finden Sie unter Was AWS KMS ist? AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Topics**
+ [Studio-Notebooks](encryption-at-rest-studio.md)
+ [Notebook-Instanzen, SageMaker KI-Jobs und Endpunkte](encryption-at-rest-nbi.md)
+ [SageMaker Geodatengestützte Funktionen](geospatial-encryption-at-rest.md)
# Studio-Notebooks
In Amazon SageMaker Studio können Ihre SageMaker Studio-Notizbücher und Daten an den folgenden Orten gespeichert werden:
+ Ein S3-Bucket — Wenn Sie Studio einbinden und gemeinsam nutzbare Notebook-Ressourcen aktivieren, gibt SageMaker KI Notebook-Snapshots und Metadaten in einem Amazon Simple Storage Service (Amazon S3) -Bucket weiter.
+ Ein EFS-Volume — Wenn Sie Studio einbinden, hängt SageMaker KI ein Amazon Elastic File System (Amazon EFS) -Volume an Ihre Domain an, um Ihre Studio-Notizbücher und Datendateien zu speichern. Das EFS-Volume bleibt bestehen, nachdem die Domain gelöscht wurde.
+ Ein EBS-Volume – Wenn Sie ein Notebook in Studio öffnen, wird ein Amazon Elastic Block Store (Amazon EBS) an die Instance angehängt, auf der das Notebook ausgeführt wird. Das EBS-Volume bleibt für die Dauer der Instance bestehen.
SageMaker KI verwendet das AWS Key Management Service (AWS KMS), um den S3-Bucket und beide Volumes zu verschlüsseln. Standardmäßig wird ein KMS-Schlüssel verwendet, der in einem Dienstkonto verwaltet wird. AWS Für mehr Kontrolle können Sie beim Einstieg in Studio oder über die SageMaker API Ihren eigenen, vom Kunden verwalteten Schlüssel angeben. Weitere Informationen erhalten Sie unter [Überblick über die Amazon SageMaker AI-Domain](gs-studio-onboard.md) und [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
In der `CreateDomain` API verwenden Sie den `S3KmsKeyId` Parameter, um den vom Kunden verwalteten Schlüssel für gemeinsam nutzbare Notebooks anzugeben. Sie verwenden den `KmsKeyId` Parameter, um den vom Kunden verwalteten Schlüssel für die EFS- und EBS-Volumes anzugeben. Derselbe vom Kunden verwaltete Schlüssel wird für beide Volumes verwendet. Der vom Kunden verwaltete Schlüssel für gemeinsam nutzbare Notebooks kann derselbe vom Kunden verwaltete Schlüssel sein, der für die Volumes verwendet wurde, oder ein anderer vom Kunden verwalteter Schlüssel.
**Wichtig**
Das Arbeitsverzeichnis Ihrer Benutzer innerhalb des Speichervolumes ist `/home/sagemaker-user`. Wenn Sie Ihren eigenen AWS KMS Schlüssel angeben, wird alles im Arbeitsverzeichnis mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt. Wenn Sie keinen AWS KMS Schlüssel angeben, werden die `/home/sagemaker-user` darin enthaltenen Daten mit einem AWS verwalteten Schlüssel verschlüsselt. Unabhängig davon, ob Sie einen AWS KMS Schlüssel angeben, werden alle Daten außerhalb des Arbeitsverzeichnisses mit einem AWS verwalteten Schlüssel verschlüsselt.
# Notebook-Instanzen, SageMaker KI-Jobs und Endpunkte
Um das Speichervolume für maschinelles Lernen (ML) zu verschlüsseln, das an Notebooks, Verarbeitungsjobs, Trainingsjobs, Hyperparameter-Tuning-Jobs, Batch-Transformationsjobs und Endpoints angehängt ist, können Sie einen AWS KMS Schlüssel an KI übergeben. SageMaker Wenn Sie keinen KMS-Schlüssel angeben, verschlüsselt SageMaker KI Speichervolumes mit einem transienten Schlüssel und verwirft ihn sofort nach der Verschlüsselung des Speichervolumes. Wenn Sie bei Notebook-Instanzen keinen KMS-Schlüssel angeben, verschlüsselt SageMaker KI sowohl Betriebssystemvolumes als auch ML-Datenvolumes mit einem vom System verwalteten KMS-Schlüssel.
Sie können einen AWS verwalteten AWS KMS Schlüssel verwenden, um alle Instanz-OS-Volumes zu verschlüsseln. Sie können alle ML-Datenvolumes für alle SageMaker AI-Instanzen mit einem von Ihnen angegebenen AWS KMS Schlüssel verschlüsseln. ML-Speichervolumes werden wie folgt bereitgestellt:
+ Notebooks: `/home/ec2-user/SageMaker`
+ Processing – `/opt/ml/processing` und `/tmp/`
+ Training: `/opt/ml/` und `/tmp/`
+ Stapel: `/opt/ml/` und `/tmp/`
+ Endpunkte: `/opt/ml/` und `/tmp/`
Verarbeitung, Stapeltransformation und Trainingsauftrags-Container und deren Speicherung sind ihrem Wesen nach flüchtig. Wenn der Job abgeschlossen ist, wird die Ausgabe mithilfe einer AWS KMS Verschlüsselung mit einem optionalen AWS KMS Schlüssel, den Sie angeben, auf Amazon S3 hochgeladen und die Instance wird heruntergefahren. Wenn in der Jobanfrage kein AWS KMS Schlüssel angegeben wird, verwendet SageMaker AI den AWS KMS Standardschlüssel für Amazon S3 für das Konto Ihrer Rolle. Wenn die Ausgabedaten in Amazon S3 Express One Zone gespeichert werden, werden sie mit serverseitiger Verschlüsselung über Amazon S3 verwaltete Schlüssel (SSE-S3) verschlüsselt. Serverseitige Verschlüsselung mit AWS KMS Schlüsseln (SSE-KMS) wird derzeit nicht für das Speichern von SageMaker KI-Ausgabedaten in Amazon S3 S3-Verzeichnis-Buckets unterstützt.
**Anmerkung**
Die Schlüsselrichtlinie für einen AWS verwalteten Schlüssel für Amazon S3 kann nicht bearbeitet werden, sodass für diese wichtigen Richtlinien keine kontoübergreifenden Berechtigungen erteilt werden können. Wenn der Amazon S3 S3-Ausgabe-Bucket für die Anfrage von einem anderen Konto stammt, geben Sie Ihren eigenen AWS KMS Kundenschlüssel in der Job-Anfrage an und stellen Sie sicher, dass die Ausführungsrolle des Jobs über die Berechtigungen verfügt, Daten damit zu verschlüsseln.
**Wichtig**
Sensible Daten, die aus Compliance-Gründen mit einem KMS-Schlüssel verschlüsselt werden müssen, sollten im ML-Speicher-Volume oder in Amazon S3 gespeichert werden, die beide mit einem von Ihnen festgelegten KMS-Schlüssel verschlüsselt werden können.
Wenn Sie eine Notebook-Instance öffnen, speichert SageMaker AI sie und alle damit verknüpften Dateien standardmäßig im SageMaker AI-Ordner auf dem ML-Speichervolume. Wenn Sie eine Notebook-Instanz beenden, erstellt SageMaker AI einen Snapshot des ML-Speichervolumes. Alle Anpassungen am Betriebssystem der gestoppten Instanz, wie z. B. installierte benutzerdefinierte Bibliotheken oder Einstellungen auf Betriebssystemebene, die außerhalb des Ordners gespeichert wurden, `/home/ec2-user/SageMaker` gehen verloren. Erwägen Sie, eine Lebenszykluskonfiguration zu verwenden, um Anpassungen der Standard-Notebook-Instance zu automatisieren. Wenn Sie eine Instance beenden, werden der Snapshot und das ML-Speichervolume gelöscht. Alle Daten, die über die Lebensdauer der Notebook-Instance hinaus erhalten bleiben sollen, sollten in einen Amazon-S3-Bucket übertragen werden.
Wenn die Notebook-Instanz nicht aktualisiert wird und unsichere Software ausgeführt wird, aktualisiert SageMaker KI die Instanz möglicherweise regelmäßig im Rahmen der regelmäßigen Wartung. Während dieser Updates werden Daten außerhalb des Ordners nicht dauerhaft `/home/ec2-user/SageMaker` gespeichert. Informationen zu Wartungs- und Sicherheitspatches finden Sie unter[Wartung](nbi.md#nbi-maintenance).
**Anmerkung**
Bestimmte Nitro-basierte SageMaker KI-Instanzen enthalten je nach Instanztyp lokalen Speicher. Lokale Speicher-Volumes werden mit einem Hardwaremodul auf der Instance verschlüsselt. Für Instance-Typen mit lokalem Speicher können keine KMS-Schlüssel verwendet werden. Eine Liste der Instance-Typen, die lokale Instance-Speicher unterstützen, finden Sie unter [Instance-Speicher-Volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes). Weitere Informationen zu Speichervolumes auf Nitro-basierten Instances finden Sie unter [Amazon EBS und NVMe auf Linux-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html).
Weitere Informationen zur Verschlüsselung lokaler Instance-Speicher finden Sie unter [SSD-Instance-Speicher-Volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
# SageMaker Geodatengestützte Funktionen
Sie können Ihre Daten im Ruhezustand mithilfe der Verschlüsselung für SageMaker Geodaten schützen.
**Serverseitige Verschlüsselung mit Amazon SageMaker Geospatial-eigenem Schlüssel (Standard)**
Amazon SageMaker Geospatial Capabilities verschlüsselt all Ihre Daten, einschließlich der Berechnungsergebnisse aus Ihren `EarthObservationJobs` und `VectorEnrichmentJobs` zusammen mit all Ihren Service-Metadaten. Es gibt keine Daten, die unverschlüsselt in Amazon SageMaker AI gespeichert werden. Es verwendet eine Standardeinstellung AWS-eigener Schlüssel , um all Ihre Daten zu verschlüsseln.
**Serverseitige Verschlüsselung mit in AWS Key Management Service (SSE-KMS) gespeicherten KMS-Schlüsseln**
Amazon SageMaker Geospatial Capabilities unterstützt die Verschlüsselung mit einem kundeneigenen KMS-Schlüssel. Weitere Informationen finden Sie unter [Verwenden von AWS KMS Berechtigungen für SageMaker Geodatenfunktionen von Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/geospatial-kms.html).
# Schützen von Daten während der Übertragung mit Verschlüsselung
Alle über das Internet übertragenen Daten werden mit TLS 1.2 verschlüsselt. Wir empfehlen Ihnen, TLS 1.3 zu verwenden.
Mit Amazon SageMaker AI werden Modellartefakte für maschinelles Lernen (ML) und andere Systemartefakte bei der Übertragung und im Ruhezustand verschlüsselt. Anfragen an die SageMaker KI-API und die Konsole werden über eine sichere (SSL) Verbindung gestellt. Sie übergeben AWS Identity and Access Management Rollen an SageMaker KI, um in Ihrem Namen Berechtigungen für den Zugriff auf Ressourcen für Schulungen und Bereitstellungen zu erteilen.
Einige Intranet-Daten sind bei der Übertragung (innerhalb der Service-Plattform) unverschlüsselt. Dies umfasst:
+ Kommunikation zwischen der Service-Steuerebene und Trainingsauftrags-Instances (keine Kundendaten).
+ Kommunikation zwischen Knoten in verteilten Verarbeitungsaufträgen (Intranet).
+ Kommunikation zwischen Knoten bei verteilten Ausbildungsaufträgen (Intranet).
Es gibt keine Kommunikation zwischen Knoten für die Stapelverarbeitung.
Sie können wählen, ob die Kommunikation zwischen Knoten in einem Trainings-Job-Cluster und einem Verarbeitungs-Job-Cluster verschlüsselt werden soll.
**Anmerkung**
Für Anwendungsfälle im Gesundheitswesen besteht die bewährte Sicherheitsmethode darin, die Kommunikation zwischen den Knoten zu verschlüsseln.
Weitere Informationen zum Verschlüsseln der Kommunikation finden Sie im nächsten Thema unter [Schützen der Kommunikationen zwischen ML Compute Instances in einem verteilten Trainingsjob](train-encrypt.md).
**Anmerkung**
Die Verschlüsselung des Datenverkehrs zwischen den Containern kann die Trainingszeit erhöhen, insbesondere wenn Sie verteilte Deep-Learning-Algorithmen verwenden. Für die betroffenen Algorithmen bedeutet diese zusätzliche Sicherheitsstufe auch höhere Kosten. Die Trainingszeit für die meisten integrierten SageMaker KI-Algorithmen wie XGBoost DeepAR und Linear Learner wird in der Regel nicht beeinträchtigt.
FIPS-validierte Endpunkte sind für die SageMaker KI-API und den Request-Router für gehostete Modelle (Runtime) verfügbar. Weitere Informationen zu FIPS-konformen Endpunkten finden Sie unter [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
## Schützen Sie die Kommunikation mit RStudio Amazon SageMaker AI
RStudio auf Amazon SageMaker AI bietet Verschlüsselung für die gesamte Kommunikation, an der SageMaker KI-Komponenten beteiligt sind. Die vorherige Version unterstützte jedoch keine Verschlüsselung zwischen den RStudio ServerPro und RSession Apps.
RStudio veröffentlichte Version 2022.02.2-485.pro2 im April 2022. Diese Version unterstützt die Verschlüsselung zwischen und Apps, um die Verschlüsselung zu ermöglichen. RStudio ServerPro RSession end-to-end Das Versionsupgrade ist jedoch nicht vollständig abwärtskompatibel. Aus diesem Grund müssen Sie alle Ihre RSession Apps RStudio ServerPro und Apps aktualisieren. Informationen über die Aktualisierung Ihrer Anwendungen finden Sie unter [RStudio Versionierung](rstudio-version.md).
# Schützen der Kommunikationen zwischen ML Compute Instances in einem verteilten Trainingsjob
Standardmäßig führt Amazon SageMaker AI Trainingsjobs in einer Amazon Virtual Private Cloud (Amazon VPC) aus, um die Sicherheit Ihrer Daten zu gewährleisten. Sie können durch das Konfigurieren einer *privaten* VPC eine weitere Sicherheitsebene zum Schutz Ihrer Trainingscontainer und Daten hinzufügen. Verteilte ML-Frameworks und -Algorithmen übermitteln in der Regel Informationen, die sich direkt auf das Modell beziehen, wie z. B. Gewichte, und nicht den Trainingsdatensatz. Wenn Sie ein verteiltes Training ausführen, können Sie die Daten, die zwischen den Instances übermittelt werden, weiter schützen. Dies hilft Ihnen, gesetzliche Vorschriften besser einzuhalten. Verwenden Sie dazu die Verschlüsselung des Datenverkehrs zwischen Containern.
**Anmerkung**
Für Anwendungsfälle im Gesundheitswesen besteht die bewährte Sicherheitsmethode darin, die Kommunikation zwischen den Knoten zu verschlüsseln.
Die Verschlüsselung des Datenverkehrs zwischen Containern zu aktivieren, kann die Trainingszeit erhöhen, vor allem wenn Sie mit verteilten Deep-Learning-Algorithmen arbeiten. Das Aktivieren der Verschlüsselung des Datenverkehrs zwischen Containern hat keine Auswirkung auf Trainingsaufträge mit einer einzigen Compute-Instance. Jedoch hängt bei Trainingsaufträgen mit mehreren Datenverarbeitungs-Instances die Auswirkung auf die Trainingszeit davon ab, wie viel Kommunikation zwischen Datenverarbeitungs-Instances stattfindet. Für betroffene Algorithmen erhöht das Hinzufügen dieser zusätzlichen Sicherheitsebene auch die Kosten. Die Trainingszeit für die meisten integrierten SageMaker KI-Algorithmen wie XGBoost DeepAR und Linear Learner wird in der Regel nicht beeinträchtigt.
Sie können die Verschlüsselung des Datenverkehrs zwischen Containern für Trainingsaufträge oder Hyperparameter-Optimierungsaufträge aktivieren. Sie können unsere Konsole verwenden, um die SageMaker APIs Verschlüsselung des Datenverkehrs zwischen Containern zu aktivieren.
Informationen über die Ausführung von Trainingsaufträgen in einer privaten VPC finden Sie unter [Geben Sie SageMaker KI-Schulungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC](train-vpc.md).
## Verschlüsselung des Datenverkehrs zwischen Containern aktivieren (API)
Bevor Sie die Verschlüsselung des Datenverkehrs zwischen Containern für Trainings- oder Hyperparameter-Tuning-Jobs mit aktivieren APIs, fügen Sie der Sicherheitsgruppe Ihrer privaten VPC Regeln für eingehenden und ausgehenden Datenverkehr hinzu.
**So aktivieren Sie die Verschlüsselung des Datenverkehrs zwischen Containern (API):**
1. Fügen Sie die folgenden Regeln in Bezug auf eingehenden und ausgehenden Datenverkehr in der Sicherheitsgruppe für Ihre private VPC hinzu:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/train-encrypt.html)
1. Wenn Sie eine Anforderung an die – [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)oder [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html)-API senden, legen Sie `True` für den `EnableInterContainerTrafficEncryption`-Parameter fest.
**Anmerkung**
Für das `ESP 50` Protokoll zeigt die AWS Sicherheitsgruppenkonsole den Portbereich möglicherweise als „Alle“ an. Amazon EC2 ignoriert jedoch den angegebenen Portbereich, da er nicht für das ESP 50-IP-Protokoll gilt.
## Aktivieren der Verschlüsselung des Datenverkehrs zwischen Containern (Konsole)
### Aktivieren der Verschlüsselung des Datenverkehrs zwischen Containern in einem Trainingsjob
**So aktivieren Sie die Verschlüsselung des Datenverkehrs zwischen Containern in einem Trainingsjob**
1. Öffnen Sie die Amazon SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im Navigationsbereich **Training (Training)** und dann **Training jobs (Trainingsaufträge)** aus.
1. Wählen Sie **Create training job (Trainingsauftrag erstellen)** aus.
1. Wählen Sie unter **Network (Netzwerk)** eine **VPC** aus. Sie können die Standard-VPC oder eine von Ihnen erstellte VPC verwenden.
1. Wählen Sie **Enable inter-container traffic encryption (Verschlüsselung des Datenverkehrs zwischen Containern aktivieren)** aus.
Nachdem Sie die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert haben, beenden Sie die Erstellung des Trainingsauftrags. Weitere Informationen finden Sie unter [Trainieren eines Modells](ex1-train-model.md).
### Aktivieren der Verschlüsselung des Datenverkehrs zwischen Containern in einem Hyperparameter-Optimierungsauftrag
**So aktivieren Sie die Verschlüsselung des Datenverkehrs zwischen Containern in einem Hyperparameter-Optimierungsauftrag**
1. Öffnen Sie die Amazon SageMaker AI-Konsole unter [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Wählen Sie im Navigationsbereich **Training (Training)** und dann **Hyperparameter tuning jobs (Hyperparameter-Optimierungsaufträge)** aus.
1. Wählen Sie **Create hyperparameter tuning job (Hyperparameteroptimierungsauftrag erstellen)** aus.
1. Wählen Sie unter **Network (Netzwerk)** eine **VPC** aus. Sie können die Standard-VPC oder eine von Ihnen erstellte VPC verwenden.
1. Wählen Sie **Enable inter-container traffic encryption (Verschlüsselung des Datenverkehrs zwischen Containern aktivieren)** aus.
Nachdem Sie die Verschlüsselung des Datenverkehrs zwischen Containern aktiviert haben, beenden Sie die Erstellung des Hyperparameter-Optimierungsauftrags. Weitere Informationen finden Sie unter [Konfigurieren und Starten eines Hyperparameter-Optimierungsauftrags](automatic-model-tuning-ex-tuning-job.md).
# Schlüsselverwaltung
Kunden können AWS KMS Schlüssel, einschließlich Bring Your Own Keys (BYOK), angeben, die für die Verschlüsselung von Umschlägen mit Amazon S3 input/output S3-Buckets und Amazon EBS-Volumes mit maschinellem Lernen (ML) verwendet werden sollen. ML-Volumes für Notebook-Instances und für die Verarbeitung, Schulung und für gehostete Docker-Container können optional mit kundeneigenen Schlüsseln verschlüsselt werden. AWS KMS Alle AWS AWS KMS Instanz-OS-Volumes sind mit einem verwalteten Schlüssel verschlüsselt.
**Anmerkung**
Bestimmte Nitro-basierte Instances enthalten lokalen Speicher, abhängig vom Instance-Typ. Lokale Speicher-Volumes werden mit einem Hardwaremodul auf der Instance verschlüsselt. Sie können keine `VolumeKmsKeyId` anfordern wenn Sie einen Instance-Typ mit lokalem Speicher verwenden.
Eine Liste der Instance-Typen, die lokale Instance-Speicher unterstützen, finden Sie unter [Instance-Speicher-Volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes).
Weitere Informationen zur Verschlüsselung lokaler Instance-Speicher finden Sie unter [SSD-Instance-Speicher-Volumes](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
Weitere Informationen zu Speichervolumes auf Nitro-basierten Instances finden Sie unter [Amazon EBS und NVMe auf Linux-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html).
Informationen zu AWS KMS Schlüsseln finden Sie unter [Was ist AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)? im *AWS Key Management Service Entwicklerhandbuch*.
# Richtlinie für den Datenverkehr zwischen Netzwerken
In diesem Thema wird beschrieben, wie Amazon SageMaker AI Verbindungen vom Service zu anderen Standorten sichert.
Die Kommunikation zwischen Netzwerken unterstützt die TLS 1.2-Verschlüsselung zwischen allen Komponenten und Clients. Wir empfehlen TLS 1.3.
Instances können mit der Kunden-VPC verbunden werden und bieten Zugriff auf S3-VPC-Endpunkte oder Kunden-Repositorys. Der ausgehende Internetdatenverkehr kann über diese Schnittstelle vom Kunden verwaltet werden, wenn der ausgehende Datenverkehr der Service-Plattform für Notebooks deaktiviert ist. Für Trainings und Hosting ist der ausgehende Datenverkehr über die Service-Plattform nicht verfügbar, wenn eine Verbindung zur VPC des Kunden besteht.
Standardmäßig durchqueren API-Aufrufe an veröffentlichte Endpunkte das öffentliche Netzwerk zum Anforderungsrouter. SageMaker KI unterstützt Amazon Virtual Private Cloud Cloud-Schnittstellenendpunkte, die AWS PrivateLink für private Konnektivität zwischen der VPC des Kunden und dem Anforderungsrouter für den Zugriff auf gehostete Modellendpunkte betrieben werden. Weitere Informationen über Amazon VPC finden Sie unter [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md)
# AWS Identity and Access Management für Amazon SageMaker AI
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um KI-Ressourcen zu verwenden SageMaker . IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Amazon SageMaker AI mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien von Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](security-confused-deputy-prevention.md)
+ [Wie verwendet man SageMaker AI-Ausführungsrollen](sagemaker-roles.md)
+ [Amazon SageMaker Rollenmanager](role-manager.md)
+ [Zugriffskontrolle für Notebooks](security-access-control.md)
+ [Amazon SageMaker AI API-Berechtigungen: Referenz zu Aktionen, Berechtigungen und Ressourcen](api-permissions-reference.md)
+ [AWS verwaltete Richtlinien für Amazon SageMaker AI](security-iam-awsmanpol.md)
+ [Fehlerbehebung bei Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon SageMaker AI mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien von Amazon SageMaker AI](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon SageMaker AI mit IAM
**Wichtig**
Benutzerdefinierte IAM-Richtlinien, die es Amazon SageMaker Studio oder Amazon SageMaker Studio Classic ermöglichen, SageMaker Amazon-Ressourcen zu erstellen, müssen auch Berechtigungen zum Hinzufügen von Tags zu diesen Ressourcen gewähren. Die Berechtigung zum Hinzufügen von Tags zu Ressourcen ist erforderlich, da Studio und Studio Classic automatisch alle von ihnen erstellten Ressourcen taggen. Wenn eine IAM-Richtlinie Studio und Studio Classic das Erstellen von Ressourcen, aber kein Tagging erlaubt, können "AccessDenied" Fehler beim Versuch, Ressourcen zu erstellen, auftreten. Weitere Informationen finden Sie unter [Erteilen Sie Berechtigungen für das Taggen von SageMaker KI-Ressourcen](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS verwaltete Richtlinien für Amazon SageMaker AI](security-iam-awsmanpol.md)die Berechtigungen zum Erstellen von SageMaker Ressourcen gewähren, beinhalten bereits Berechtigungen zum Hinzufügen von Tags beim Erstellen dieser Ressourcen.
Bevor Sie IAM verwenden, um den Zugriff auf SageMaker KI zu verwalten, sollten Sie wissen, welche IAM-Funktionen für die Verwendung mit SageMaker KI verfügbar sind. *Einen allgemeinen Überblick darüber, wie SageMaker KI und andere AWS Dienste mit IAM funktionieren, finden Sie unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_aws-services-that-work-with-iam.html) in der Service Authorization Reference.*
**Topics**
+ [Identitätsbasierte Richtlinien für Amazon AI SageMaker](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien innerhalb von Amazon AI SageMaker](#security_iam_service-with-iam-resource-based-policies)
+ [Politische Maßnahmen für Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-actions)
+ [Politische Ressourcen für Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-resources)
+ [Schlüssel für Richtlinienbedingungen für Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Autorisierung auf der Grundlage von KI-Tags SageMaker](#security_iam_service-with-iam-tags)
+ [SageMaker AI IAM-Rollen](#security_iam_service-with-iam-roles)
## Identitätsbasierte Richtlinien für Amazon AI SageMaker
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. SageMaker KI unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) in der *Service-Authorization-Referenz*.
## Ressourcenbasierte Richtlinien innerhalb von Amazon AI SageMaker
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Prinzipale können Konten, Benutzer, Rollen, Verbundbenutzer oder Dienste umfassen. AWS
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Prinzipal und die Ressource in unterschiedlichen AWS -Konten befinden, muss ein IAM-Administrator im vertrauenswürdigen Konto auch der Prinzipalentität (Benutzer oder Rolle) die Berechtigung zum Zugriff auf die Ressource erteilen. Sie erteilen Berechtigungen, indem Sie der juristischen Stelle eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Wird [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)für die sichere gemeinsame Nutzung unterstützter SageMaker KI-Ressourcen verwendet. Eine Liste der gemeinsam nutzbaren Ressourcen finden Sie unter Gemeinsam [nutzbare Amazon SageMaker AI-Ressourcen](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
## Politische Maßnahmen für Amazon SageMaker AI
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in SageMaker AI verwenden vor der Aktion das folgende Präfix:`sagemaker:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, einen SageMaker KI-Schulungsjob mit dem SageMaker `CreateTrainingJob` KI-API-Vorgang auszuführen, nehmen Sie die `sagemaker:CreateTrainingJob` Aktion in seine Richtlinie auf. Grundsatzerklärungen müssen `Action` entweder ein `NotAction` Oder-Element enthalten. SageMaker KI definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"sagemaker:action1",
"sagemaker:action2"
]
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "sagemaker:Describe*"
```
Eine Liste der SageMaker KI-Aktionen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) in der *Service Authorization Reference*.
## Politische Ressourcen für Amazon SageMaker AI
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Anweisungen müssen entweder ein – `Resource`oder ein `NotResource`-Element enthalten. Als bewährte Methode geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als *Berechtigungen auf Ressourcenebene* bezeichnet wird.
Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Amazon SageMaker AI-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie in den folgenden Referenzen für Aktionen, Ressourcentypen und Bedingungsschlüssel, die von Amazon SageMaker AI definiert wurden, in der *Service Authorization Reference*.
+ [Amazon SageMaker KI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)
+ [ SageMaker Geospatial-Funktionen von Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)
+ [Amazon SageMaker Ground Truth Synthetisch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergroundtruthsynthetic.html)
+ [Amazon SageMaker AI mit MLflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakerwithmlflow.html)
Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon SageMaker AI definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
## Schlüssel für Richtlinienbedingungen für Amazon SageMaker AI
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
SageMaker KI definiert ihren eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_condition-keys.html) in der *Service Authorization Reference*.
SageMaker AI unterstützt eine Reihe von dienstspezifischen Bedingungsschlüsseln, die Sie für eine differenzierte Zugriffskontrolle für die folgenden Operationen verwenden können:
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html)
Eine Liste der SageMaker KI-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von Amazon SageMaker AI definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
Beispiele für die Verwendung von SageMaker KI-Bedingungsschlüsseln finden Sie im Folgenden:[Steuern Sie die Erstellung von SageMaker KI-Ressourcen mit Bedingungsschlüsseln](security_iam_id-based-policy-examples.md#sagemaker-condition-examples).
### Beispiele
Beispiele für identitätsbasierte SageMaker KI-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien von Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
## Autorisierung auf der Grundlage von KI-Tags SageMaker
Sie können Tags an SageMaker KI-Ressourcen anhängen oder Tags in einer Anfrage an SageMaker KI weitergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `sagemaker:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen zum Taggen von SageMaker KI-Ressourcen finden Sie unter[Steuern Sie den Zugriff auf SageMaker KI-Ressourcen mithilfe von Tags](security_iam_id-based-policy-examples.md#access-tag-policy).
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Steuern Sie den Zugriff auf SageMaker KI-Ressourcen mithilfe von Tags](security_iam_id-based-policy-examples.md#access-tag-policy).
## SageMaker AI IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit SageMaker KI verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
SageMaker AI unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
SageMaker KI unterstützt teilweise [dienstbezogene Rollen](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Serviceverknüpfte Rollen sind derzeit für SageMaker Studio Classic verfügbar.
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
SageMaker KI unterstützt Servicerollen.
### Auswahl einer IAM-Rolle in KI SageMaker
Wenn Sie eine Notebook-Instance, einen Verarbeitungsjob, einen Schulungsjob, einen gehosteten Endpunkt oder eine Jobressource für Batch-Transformation in SageMaker KI erstellen, müssen Sie eine Rolle auswählen, damit SageMaker KI in Ihrem Namen auf SageMaker KI zugreifen kann. Wenn Sie zuvor eine Servicerolle oder eine dienstbezogene Rolle erstellt haben, stellt Ihnen SageMaker KI eine Liste von Rollen zur Auswahl zur Verfügung. Es ist wichtig, eine Rolle zu wählen, die den Zugriff auf die AWS Abläufe und Ressourcen ermöglicht, die Sie benötigen. Weitere Informationen finden Sie unter [Wie verwendet man SageMaker AI-Ausführungsrollen](sagemaker-roles.md).
# Beispiele für identitätsbasierte Richtlinien von Amazon SageMaker AI
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, SageMaker KI-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen. Informationen zum anfügen von Richtlinien an einen Benutzer oder eine Gruppe in [ finden Sie unter ](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_manage-attach-detach.html)Hinzufügen und Entfernen von IAM-Identitätsberechtigungen* im *.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_create.html#access_policies_create-json-editor).
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der AI-Konsole SageMaker](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Steuern Sie die Erstellung von SageMaker KI-Ressourcen mit Bedingungsschlüsseln](#sagemaker-condition-examples)
+ [Steuern Sie den Zugriff auf die SageMaker KI-API mithilfe identitätsbasierter Richtlinien](#api-access-policy)
+ [Beschränken Sie den Zugriff auf die SageMaker KI-API und Runtime-Aufrufe anhand der IP-Adresse](#api-ip-filter)
+ [Einschränken des Zugriffs auf eine Notebook-Instance nach IP-Adresse](#nbi-ip-filter)
+ [Steuern Sie den Zugriff auf SageMaker KI-Ressourcen mithilfe von Tags](#access-tag-policy)
+ [Erteilen Sie Berechtigungen für das Taggen von SageMaker KI-Ressourcen](#grant-tagging-permissions)
+ [Beschränken Sie den Zugriff auf durchsuchbare Ressourcen mit Sichtbarkeitsbedingungen](#limit-access-to-searchable-resources)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand SageMaker KI-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der AI-Konsole SageMaker
Um auf die Amazon SageMaker AI-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den SageMaker KI-Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver als die mindestens erforderlichen Berechtigungen ist, funktioniert die Konsole für Entitäten mit dieser Richtlinie nicht ordnungsgemäß. Dazu gehören Benutzer oder Rollen mit dieser Richtlinie.
Um sicherzustellen, dass diese Entitäten die SageMaker AI-Konsole weiterhin verwenden können, müssen Sie den Entitäten außerdem die folgende AWS verwaltete Richtlinie hinzufügen. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/service-authorization/latest/reference/id_users_change-permissions.html#users_change_permissions-add-console) in der *Serviceautorisierungsreferenz*:
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.
**Topics**
+ [Für die Verwendung der Amazon SageMaker AI-Konsole sind Berechtigungen erforderlich](#console-permissions)
+ [Für die Nutzung der Amazon SageMaker Ground Truth Konsole sind Berechtigungen erforderlich](#groundtruth-console-policy)
+ [Erforderliche Berechtigungen für die Verwendung der Konsole von Amazon Augmented AI (Preview)](#amazon-augmented-ai-console-policy)
### Für die Verwendung der Amazon SageMaker AI-Konsole sind Berechtigungen erforderlich
Die Referenztabelle für Berechtigungen listet die Amazon SageMaker AI-API-Operationen auf und zeigt die erforderlichen Berechtigungen für jeden Vorgang. Weitere Informationen zu Amazon SageMaker AI-API-Vorgängen finden Sie unter[Amazon SageMaker AI API-Berechtigungen: Referenz zu Aktionen, Berechtigungen und Ressourcen](api-permissions-reference.md).
Um die Amazon SageMaker AI-Konsole verwenden zu können, müssen Sie Berechtigungen für zusätzliche Aktionen erteilen. Insbesondere benötigt die Konsole Berechtigungen, die es den `ec2` Aktionen ermöglichen VPCs, Subnetze und Sicherheitsgruppen anzuzeigen. Optional benötigt die Konsole die Berechtigung zum Erstellen von *Ausführungsrollen* für Aufgaben wie `CreateNotebook`, `CreateTrainingJob` und `CreateModel`. Gewähren Sie diese Berechtigungen mit der folgenden Berechtigungsrichtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "VpcConfigurationForCreateForms",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid":"KmsKeysForCreateForms",
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource":"*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListRepositories",
"codecommit:ListBranches",
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid":"ListAndCreateExecutionRoles",
"Effect":"Allow",
"Action":[
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource":"*"
},
{
"Sid": "DescribeECRMetaData",
"Effect": "Allow",
"Action": [
"ecr:Describe*"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
### Für die Nutzung der Amazon SageMaker Ground Truth Konsole sind Berechtigungen erforderlich
Um die Amazon SageMaker Ground Truth Konsole verwenden zu können, müssen Sie Berechtigungen für zusätzliche Ressourcen erteilen. Insbesondere benötigt die Konsole Berechtigungen für:
+ der AWS Marketplace, um Abonnements anzusehen,
+ Amazon Cognito Operations zur Verwaltung Ihrer privaten Belegschaft
+ Amazon-S3-Aktionen für den Zugriff auf Ihre Eingabe- und Ausgabedateien
+ AWS Lambda Aktionen zum Auflisten und Aufrufen von Funktionen
Gewähren Sie diese Berechtigungen mit der folgenden Berechtigungsrichtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"groundtruthlabeling:DescribeConsoleJob",
"groundtruthlabeling:ListDatasetObjects",
"groundtruthlabeling:RunGenerateManifestByCrawlingJob",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
### Erforderliche Berechtigungen für die Verwendung der Konsole von Amazon Augmented AI (Preview)
Um die Augmented AI-Konsole nutzen zu können, müssen Sie Berechtigungen für zusätzliche Ressourcen erteilen. Gewähren Sie diese Berechtigungen mit der folgenden Berechtigungsrichtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*Algorithm",
"sagemaker:*Algorithms",
"sagemaker:*App",
"sagemaker:*Apps",
"sagemaker:*AutoMLJob",
"sagemaker:*AutoMLJobs",
"sagemaker:*CodeRepositories",
"sagemaker:*CodeRepository",
"sagemaker:*CompilationJob",
"sagemaker:*CompilationJobs",
"sagemaker:*Endpoint",
"sagemaker:*EndpointConfig",
"sagemaker:*EndpointConfigs",
"sagemaker:*EndpointWeightsAndCapacities",
"sagemaker:*Endpoints",
"sagemaker:*Experiment",
"sagemaker:*Experiments",
"sagemaker:*FlowDefinitions",
"sagemaker:*HumanLoop",
"sagemaker:*HumanLoops",
"sagemaker:*HumanTaskUi",
"sagemaker:*HumanTaskUis",
"sagemaker:*HyperParameterTuningJob",
"sagemaker:*HyperParameterTuningJobs",
"sagemaker:*LabelingJob",
"sagemaker:*LabelingJobs",
"sagemaker:*Metrics",
"sagemaker:*Model",
"sagemaker:*ModelPackage",
"sagemaker:*ModelPackages",
"sagemaker:*Models",
"sagemaker:*MonitoringExecutions",
"sagemaker:*MonitoringSchedule",
"sagemaker:*MonitoringSchedules",
"sagemaker:*NotebookInstance",
"sagemaker:*NotebookInstanceLifecycleConfig",
"sagemaker:*NotebookInstanceLifecycleConfigs",
"sagemaker:*NotebookInstanceUrl",
"sagemaker:*NotebookInstances",
"sagemaker:*ProcessingJob",
"sagemaker:*ProcessingJobs",
"sagemaker:*RenderUiTemplate",
"sagemaker:*Search",
"sagemaker:*SearchSuggestions",
"sagemaker:*Tags",
"sagemaker:*TrainingJob",
"sagemaker:*TrainingJobs",
"sagemaker:*TransformJob",
"sagemaker:*TransformJobs",
"sagemaker:*Trial",
"sagemaker:*TrialComponent",
"sagemaker:*TrialComponents",
"sagemaker:*Trials",
"sagemaker:*Workteam",
"sagemaker:*Workteams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sagemaker:*FlowDefinition"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListBranches",
"codecommit:ListRepositories",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob",
"glue:GetJobRun",
"glue:GetJobRuns",
"glue:GetJobs",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:PutLogEvents",
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:DescribeResourcePolicies",
"logs:GetLogDelivery",
"logs:ListLogDeliveries",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": "arn:aws:ecr:*:*:repository/*sagemaker*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
}
]
}
```
------
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI OR-API. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Steuern Sie die Erstellung von SageMaker KI-Ressourcen mit Bedingungsschlüsseln
Steuern Sie den detaillierten Zugriff, um die Erstellung von SageMaker KI-Ressourcen mithilfe von SageMaker KI-spezifischen Bedingungsschlüsseln zu ermöglichen. Informationen zur Verwendung von Bedingungsschlüsseln in IAM-Richtlinien finden Sie unter IAM [JSON Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
Die Bedingungsschlüssel, die zugehörigen API-Aktionen und Links zu relevanter Dokumentation sind in der [*Serviceautorisierungsreferenz* unter Bedingungsschlüssel für SageMaker KI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) aufgeführt.
Die folgenden Beispiele zeigen, wie Sie die SageMaker AI-Bedingungsschlüssel zur Zugriffskontrolle verwenden können.
**Topics**
+ [Steuern Sie den Zugriff auf SageMaker KI-Ressourcen mithilfe von Bedingungsschlüsseln des Dateisystems](#access-fs-condition-keys)
+ [Beschränken des Trainings auf eine bestimmte VPC](#sagemaker-condition-vpc)
+ [Beschränken des Zugriffs auf Workforce-Typen für Ground-Truth-Beschriftungsaufträge und Amazon A2I Human Review Workflows](#sagemaker-condition-keys-labeling)
+ [Erzwingen der Verschlüsselung von Eingabedaten](#sagemaker-condition-kms)
+ [Erzwingen der Netzwerkisolierung für Trainingsaufträge](#sagemaker-condition-isolation)
+ [Erzwingen eines bestimmten Instance-Typs für Trainingsaufträge](#sagemaker-condition-instance)
+ [Erzwingen der Deaktivierung des Internetzugriffs und des Root-Zugriffs zum Erstellen von Notebook-Instances](#sagemaker-condition-nbi-lockdown)
### Steuern Sie den Zugriff auf SageMaker KI-Ressourcen mithilfe von Bedingungsschlüsseln des Dateisystems
SageMaker Das KI-Training bietet eine sichere Infrastruktur, in der der Trainingsalgorhythmus ausgeführt werden kann. In einigen Fällen ist jedoch eine gründlichere Abwehr erforderlich. Beispielsweise minimieren Sie das Risiko, nicht vertrauenswürdigen Code in Ihrem Algorithmus auszuführen, oder Sie haben bestimmte Sicherheitsvorgaben in Ihrer Organisation. In diesen Szenarien können Sie die dienstspezifischen Bedingungsschlüssel im Condition-Element einer IAM-Richtlinie verwenden, um den Benutzer auf Folgendes zu beschränken:
+ spezifische Dateisysteme
+ Verzeichnisse
+ Zugriffsmodi (Lesevorgänge möglich)
+ Sicherheitsgruppen
**Topics**
+ [Beschränken eines IAM-Benutzers auf bestimmte Verzeichnisse und Zugriffsmodi](#access-fs-condition-keys-ex-dirs)
+ [Beschränken eines Benutzers auf ein bestimmtes Dateisystem](#access-fs-condition-keys-ex-fs)
#### Beschränken eines IAM-Benutzers auf bestimmte Verzeichnisse und Zugriffsmodi
Die folgende Richtlinie beschränkt einen Benutzer auf die `/sagemaker/xgboost-dm/validation` Verzeichnisse `/sagemaker/xgboost-dm/train` und eines EFS-Dateisystems auf `ro` (schreibgeschützt): AccessMode
**Anmerkung**
Wenn ein Verzeichnis zulässig ist, kann der Trainingsalgorithmus auch auf alle seine Unterverzeichnisse zugreifen. POSIX-Berechtigungen werden ignoriert.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToElasticFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/train"
}
}
},
{
"Sid": "AccessToElasticFileSystemValidation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/validation"
}
}
}
]
}
```
------
#### Beschränken eines Benutzers auf ein bestimmtes Dateisystem
Um zu verhindern, dass ein böswilliger Algorithmus mithilfe eines Userspace-Clients direkt auf ein Dateisystem in Ihrem Konto zugreift, können Sie den Netzwerkverkehr einschränken. Um diesen Datenverkehr einzuschränken, lassen Sie nur Zugriffe von einer bestimmten Sicherheitsgruppe aus zu. Im folgenden Beispiel kann der -Benutzer nur die angegebene Sicherheitsgruppe für den Zugriff auf das Dateisystem verwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToLustreFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "FSxLustre",
"sagemaker:FileSystemDirectoryPath": "/fsx/sagemaker/xgboost/train"
},
"ForAllValues:StringEquals": {
"sagemaker:VpcSecurityGroupIds": [
"sg-12345678"
]
}
}
}
]
}
```
------
Dieses Beispiel kann einen Algorithmus auf ein bestimmtes Dateisystem beschränken. Es verhindert jedoch nicht, dass ein Algorithmus mithilfe des Userspace-Clients auf ein beliebiges Verzeichnis innerhalb dieses Dateisystems zugreift. Um dies zu vermeiden, haben Sie folgende Möglichkeiten:
+ Stellen Sie sicher, dass das Dateisystem nur Daten enthält, auf die Ihre -Benutzer zugreifen können.
+ Erstellen Sie eine IAM-Rolle, die Ihre Benutzer auf das Starten von Trainingsaufträgen mit Algorithmen aus genehmigten ECR-Repositorys einschränkt
[Weitere Informationen zur Verwendung von Rollen mit SageMaker KI finden Sie unter SageMaker KI-Rollen.](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html)
### Beschränken des Trainings auf eine bestimmte VPC
Beschränken Sie einen AWS Benutzer darauf, Schulungsjobs in einer Amazon VPC zu erstellen. Wenn ein Trainingsjob in einer VPC erstellt wird, können Sie VPC-Flow-Protokolle verwenden, um den gesamten Datenverkehr zum und vom Trainingscluster zu überwachen. Informationen zur Verwendung von VPC-Flow-Protokollen finden Sie unter [VPC-Flow-Protokolle](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) im* Amazon Virtual Private Cloud-Benutzerhandbuch*.
Die folgende Richtlinie erzwingt, dass ein Trainingsjob von einem Benutzer erstellt wird, der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) aus einem VPC heraus aufruft:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFromVpc",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"sagemaker:VpcSubnets": ["subnet-a1234"],
"sagemaker:VpcSecurityGroupIds": ["sg12345", "sg-67890"]
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
}
]
}
```
------
### Beschränken des Zugriffs auf Workforce-Typen für Ground-Truth-Beschriftungsaufträge und Amazon A2I Human Review Workflows
Die Arbeitsteams von Amazon SageMaker Ground Truth und Amazon Augmented AI lassen sich in einen von drei [Personaltypen einteilen](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management.html):
+ öffentlich (mit Amazon Mechanical Turk)
+ private
+ vendor
Sie können den Benutzerzugriff auf ein bestimmtes Arbeitsteam beschränken, indem Sie einen dieser Typen oder den ARN des Arbeitsteams verwenden. Verwenden Sie dazu `sagemaker:WorkteamType` and/or die `sagemaker:WorkteamArn` Bedingungstasten. Verwenden Sie als `sagemaker:WorkteamType`-Bedingungsschlüssel [Bedingungsoperatoren für Zeichenfolgen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Verwenden Sie für den `sagemaker:WorkteamArn`-Bedingungsschlüssel [Amazon-Ressourcennamen(ARN)-Zustandsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN). Wenn der Benutzer versucht, einen Labeling-Job mit einem eingeschränkten Arbeitsteam zu erstellen, gibt SageMaker AI die Fehlermeldung „Zugriff verweigert“ zurück.
Die folgenden Richtlinien zeigen verschiedene Möglichkeiten zur Verwendung der Bedingungsschlüssel `sagemaker:WorkteamType` und `sagemaker:WorkteamArn` mit geeigneten Bedingungsoperatoren und gültigen Bedingungswerten.
Im folgenden Beispiel wird der `sagemaker:WorkteamType`-Bedingungsschlüssel zusammen mit dem `StringEquals`-Bedingungsoperator verwendet, um den Zugriff auf ein öffentliches Arbeitsteam zu beschränken. Sie akzeptiert Bedingungswerte im folgenden Format:`workforcetype-crowd`, wobei `public``private`, oder entsprechen *workforcetype* kann`vendor`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:WorkteamType": "public-crowd"
}
}
}
]
}
```
------
Die folgenden Richtlinien zeigen, wie Sie mithilfe des `sagemaker:WorkteamArn`-Bedingungsschlüssels den Zugriff auf ein öffentliches Arbeitsteam einschränken. Die erste zeigt, wie man ihn mit einer gültigen IAM-Regex-Variante der ARN des Arbeitsteams und dem `ArnLike` Bedingungsoperator verwendet. Die zweite zeigt, wie Sie es mit dem `ArnEquals`-Bedingungsoperator und dem Arbeitsteam-ARN verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnLike": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
}
}
}
]
}
```
------
### Erzwingen der Verschlüsselung von Eingabedaten
Die folgende Richtlinie beschränkt den Benutzer bei der Erstellung auf die Angabe eines AWS KMS Schlüssels zur Verschlüsselung von Eingabedaten mithilfe des `sagemaker:VolumeKmsKey` Bedingungsschlüssels:
+ Training
+ Hyperparameter-Abstimmung
+ Labeling-Aufträge
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceEncryption",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateFlowDefinition"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:VolumeKmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
]
}
```
------
### Erzwingen der Netzwerkisolierung für Trainingsaufträge
Die folgende Richtlinie schränkt einen Benutzer ein, die Netzwerkisolierung bei der Erstellung von Trainingsaufträgen mit Hilfe des `sagemaker:NetworkIsolation` Bedingungsschlüssels zu aktivieren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceIsolation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"Bool": {
"sagemaker:NetworkIsolation": "true"
}
}
}
]
}
```
------
### Erzwingen eines bestimmten Instance-Typs für Trainingsaufträge
Die folgende Richtlinie schränkt einen Benutzer auf die Verwendung eines bestimmten Instance-Typs bei der Erstellung von Trainingsaufträgen ein, indem sie den `sagemaker:InstanceTypes` Bedingungsschlüssel verwendet:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceInstanceType",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"sagemaker:InstanceTypes": ["ml.c5.*"]
}
}
}
]
}
```
------
### Erzwingen der Deaktivierung des Internetzugriffs und des Root-Zugriffs zum Erstellen von Notebook-Instances
Sie können sowohl den Internetzugriff als auch den Root-Zugriff auf Notebook-Instances deaktivieren, um sie sicherer zu machen. Informationen zur Steuerung des Root-Zugriffs auf eine Notebook-Instance finden Sie unter [Steuern Sie den Root-Zugriff auf eine Notebook-Instance SageMaker](nbi-root-access.md). Informationen zum Deaktivieren des Internetzugriffs für eine Notebook-Instance finden Sie unter[Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen](appendix-notebook-and-internet-access.md).
Die folgende Richtlinie sieht vor, dass ein Benutzer den Netzwerkzugriff beim Erstellen einer Instance und den Root-Zugriff beim Erstellen oder Aktualisieren einer Notebook-Instance deaktivieren muss.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LockDownCreateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:CreateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:DirectInternetAccess": "Disabled",
"sagemaker:RootAccess": "Disabled"
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
},
{
"Sid": "LockDownUpdateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:UpdateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:RootAccess": "Disabled"
}
}
}
]
}
```
------
## Steuern Sie den Zugriff auf die SageMaker KI-API mithilfe identitätsbasierter Richtlinien
Verwenden Sie identitätsbasierte SageMaker IAM-Richtlinien, um den Zugriff auf KI-API-Aufrufe und Aufrufe an SageMaker KI-gehostete Endpunkte zu kontrollieren.
**Topics**
+ [Beschränken Sie den Zugriff auf die SageMaker KI-API und die Laufzeit auf Aufrufe aus Ihrer VPC](#api-access-policy-vpc)
### Beschränken Sie den Zugriff auf die SageMaker KI-API und die Laufzeit auf Aufrufe aus Ihrer VPC
Wenn Sie in Ihrer VPC einen Schnittstellenendpunkt einrichten, können sich Personen außerhalb der VPC über das Internet mit der SageMaker KI-API und Runtime verbinden. Um dies zu verhindern, fügen Sie eine IAM-Richtlinie hinzu, die den Zugriff auf Anrufe aus der VPC einschränkt. Diese Aufrufe müssen auf alle Benutzer und Gruppen beschränkt sein, die Zugriff auf Ihre SageMaker KI-Ressourcen haben. Informationen zum Erstellen eines VPC-Schnittstellenendpunkts für die SageMaker AI-API und Runtime finden Sie unter[Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md).
**Wichtig**
Wenn Sie eine IAM-Richtlinie anwenden, die einer der folgenden ähnelt, können Benutzer nicht über die Konsole auf die angegebene SageMaker KI APIs zugreifen.
Zum Beschränken des Zugriffs ausschließlich auf Verbindungen von innerhalb Ihrer VPC erstellen Sie eine AWS Identity and Access Management -Richtlinie, die den Zugriff beschränkt. Dieser Zugriff darf nur auf Anrufe beschränkt werden, die aus Ihrer VPC kommen. Fügen Sie diese Richtlinie dann allen AWS Identity and Access Management Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf die SageMaker KI-API oder Runtime verwendet werden.
**Anmerkung**
Diese Richtlinie erlaubt Verbindungen nur zu Aufrufern innerhalb eines Subnetzes, in dem Sie einen Schnittstellendpunkt erstellt haben.
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Um den Zugriff auf die API auf Aufrufe zu beschränken, die über den Schnittstellenendpunkt erfolgen, verwenden Sie den Bedingungsschlüssel `aws:SourceVpce` anstelle von `aws:SourceVpc`:
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
## Beschränken Sie den Zugriff auf die SageMaker KI-API und Runtime-Aufrufe anhand der IP-Adresse
Sie können den Zugriff auf SageMaker KI-API-Aufrufe und Runtime-Aufrufe nur von IP-Adressen aus einer von Ihnen angegebenen Liste zulassen. Erstellen Sie dazu eine IAM-Richtlinie, die den Zugriff auf die API verweigert, sofern der Anruf nicht von einer IP-Adresse in der Liste stammt. Fügen Sie diese Richtlinie dann allen AWS Identity and Access Management Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf die API oder Runtime verwendet werden. Informationen zum Erstellen von IAM-Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *AWS Identity and Access Management Benutzerhandbuch*.
Um die Liste der IP-Adressen anzugeben, die Zugriff auf die API-Aufrufe haben, verwenden Sie den folgenden Befehl:
+ `IpAddress`-Bedingungsoperator
+ `aws:SourceIP`-Bedingungskontextschlüssel
Informationen über IAM-Bedingungsoperatoren finden Sie unter [IAM JSON-Richtlinienelemente: Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) im *AWS Identity and Access Management Benutzerhandbuch*. Informationen über IAM-Bedingungskontextschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Die folgende Richtlinie erlaubt beispielsweise den Zugriff auf [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) nur von IP-Adressen in den Bereichen `192.0.2.0`–`192.0.2.255` und `203.0.113.0`–`203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreateTrainingJob",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
## Einschränken des Zugriffs auf eine Notebook-Instance nach IP-Adresse
Sie können den Zugriff auf eine Notebook-Instance nur über IP-Adressen in einer von Ihnen angegebenen Liste zulassen. Erstellen Sie dazu eine IAM-Richtlinie, die den Zugriff verweigert, [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html)sofern der Anruf nicht von einer IP-Adresse in der Liste stammt. Fügen Sie diese Richtlinie dann allen AWS Identity and Access Management Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf die Notebook-Instanz verwendet werden. Informationen zum Erstellen von IAM-Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *AWS Identity and Access Management Benutzerhandbuch*.
Zum Angeben der Liste von IP-Adressen, die Zugriff auf die Notebook-Instance haben sollen, verwenden Sie den:
+ `IpAddress`-Bedingungsoperator
+ `aws:SourceIP`-Bedingungskontextschlüssel
Informationen über IAM-Bedingungsoperatoren finden Sie unter [IAM JSON-Richtlinienelemente: Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) im *AWS Identity and Access Management Benutzerhandbuch*. Informationen über IAM-Bedingungskontextschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Die folgende Richtlinie erlaubt beispielsweise den Zugriff auf eine Notebook-Instance nur dann, wenn die IP-Adresse im Bereich `192.0.2.0`–`192.0.2.255` oder `203.0.113.0`–`203.0.113.255` liegt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
Die Richtlinie beschränkt den Zugriff sowohl für das Aufrufen von `CreatePresignedNotebookInstanceUrl` als auch für die URL, die durch diesen Aufruf zurückgegeben wird. Außerdem beschränkt die Richtlinie den Zugriff für das Öffnen einer Notebook-Instance in der Konsole. Sie wird für jede HTTP-Anfrage und jeden WebSocket Frame durchgesetzt, der versucht, eine Verbindung zur Notebook-Instanz herzustellen.
**Anmerkung**
Die Verwendung dieser Methode zum Filtern nach IP-Adresse ist nicht kompatibel, wenn [über einen VPC-Schnittstellenendpunkt eine Verbindung zu SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html) hergestellt wird. . Informationen zum Einschränken des Zugriffs auf eine Notebook-Instance bei Verbindung über einen VPC-Schnittstellenendpunkt finden Sie unter [Herstellen einer Verbindung zu einer Notebook-Instance über einen VPC-Schnittstellenendpunkt](notebook-interface-endpoint.md).
## Steuern Sie den Zugriff auf SageMaker KI-Ressourcen mithilfe von Tags
Geben Sie Tags innerhalb einer IAM-Richtlinie an, um den Zugriff auf Gruppen von SageMaker KI-Ressourcen zu kontrollieren. Verwendung von Tags zur Umsetzung der attributbasierten Zugriffskontrolle (ABAC). Mithilfe von Tags können Sie den Zugriff auf Ressourcen auf bestimmte Benutzergruppen aufteilen. Sie können ein Team mit Zugriff auf eine Gruppe von Ressourcen und ein anderes Team mit Zugriff auf eine andere Gruppe von Ressourcen haben. Sie können in den IAM-Richtlinien `ResourceTag` Bedingungen festlegen, um den Zugriff für jede Gruppe zu gewähren.
**Anmerkung**
Mit tagbasierten Richtlinien lassen sich folgende API-Aufrufe nicht einschränken:
DeleteImageVersion
DescribeImageVersion
ListAlgorithms
ListCodeRepositories
ListCompilationJobs
ListEndpointConfigs
ListEndpoints
ListFlowDefinitions
ListHumanTaskUis
ListHyperparameterTuningJobs
ListLabelingJobs
ListLabelingJobsForWorkteam
ListModelPackages
ListModels
ListNotebookInstanceLifecycleConfigs
ListNotebookInstances
ListSubscribedWorkteams
ListTags
ListProcessingJobs
ListTrainingJobs
ListTrainingJobsForHyperParameterTuningJob
ListTransformJobs
ListWorkteams
Suchen
Ein einfaches Beispiel kann Ihnen helfen zu verstehen, wie Sie Tags verwenden können, um Ressourcen zu partitionieren. Angenommen, Sie haben in Ihrem AWS Konto zwei verschiedene IAM-Gruppen mit dem Namen `DevTeam1` und `DevTeam2` definiert. Sie haben auch 10 Notebook-Instances erstellt. Sie verwenden 5 der Notebook-Instances für ein Projekt. Sie verwenden die anderen 5 für ein zweites Projekt. Sie können `DevTeam1` mit Berechtigungen API-Aufrufe durchzuführen für die Notebook-Instances bereitstellen, die Sie für das erste Projekt verwenden. Sie können `DevTeam2` angeben, dass API-Aufrufe für Notebook-Instances getätigt werden, die für das zweite Projekt verwendet werden.
Das folgende Verfahren bietet ein einfaches Beispiel, das Ihnen hilft, das Konzept des Hinzufügens von Tags zu verstehen. Sie können es verwenden, um die im vorherigen Absatz beschriebene Lösung zu implementieren.
**So steuern Sie den Zugriff auf API-Aufrufe (Beispiel)**
1. Fügen Sie ein Tag mit dem Schlüssel `Project` und dem Wert `A` zu den Notebook-Instances für das erste Projekt hinzu. Informationen zum Hinzufügen von Tags zu SageMaker KI-Ressourcen finden Sie unter [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html).
1. Fügen Sie ein Tag mit dem Schlüssel `Project` und dem Wert `B` zu den Notebook-Instances für das zweite Projekt hinzu.
1. Erstellen Sie eine IAM-Richtlinie mit einer `ResourceTag`-Bedingung, die den Zugriff auf die für das zweite Projekt verwendeten Notebook-Instances verweigert. Hängen Sie diese Richtlinie dann an. `DevTeam1` Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die alle API-Aufrufe an Notebook-Instances verweigert, die über ein Tag mit dem Schlüssel `Project` und dem Wert `B` verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "B"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
Informationen über die Erstellung von IAM-Richtlinien und deren Anhängen an Identitäten finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Zugriffskontrolle mithilfe von Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html).
1. Erstellen Sie eine IAM-Richtlinie mit einer `ResourceTag`-Bedingung, die den Zugriff auf die für das erste Projekt verwendeten Notebook-Instances verweigert. Hängen Sie diese Richtlinie dann an. `DevTeam2` Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die alle API-Aufrufe an Notebook-Instances verweigert, die über ein Tag mit dem Schlüssel `Project` und dem Wert `A` verfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "A"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
## Erteilen Sie Berechtigungen für das Taggen von SageMaker KI-Ressourcen
[Tags](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) sind Metadaten-Labels, die Sie bestimmten AWS Ressourcen zuordnen können. Ein Tag besteht aus einem Schlüssel-Wert-Paar, das eine flexible Möglichkeit bietet, Ressourcen mit Metadatenattributen für verschiedene Anwendungsfälle zu versehen, [darunter:](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html)
+ search
+ Sicherheit
+ [Kostenzuweisung](https://docs.aws.amazon.com/whitepapers/latest/sagemaker-studio-admin-best-practices/cost-attribution.html)
+ Zugriffskontrolle
+ -Automatisierung
Sie können in Berechtigungen und Richtlinien, Dienstkontingenten und Integrationen mit anderen AWS Diensten verwendet werden. Tags können benutzerdefiniert oder beim Erstellen von AWS Ressourcen generiert werden. Dies hängt davon ab, ob ein Benutzer benutzerdefinierte Tags manuell angibt oder ob ein AWS Dienst automatisch ein Tag generiert.
+ *Benutzerdefinierte Tags* in SageMaker KI: Benutzer können Tags hinzufügen SageMaker SDKs, wenn sie SageMaker KI-Ressourcen mithilfe der AWS CLI CLI SageMaker APIs, der SageMaker KI-Konsole oder CloudFormation Vorlagen erstellen.
**Anmerkung**
Benutzerdefinierte Tags können überschrieben werden, wenn eine Ressource später aktualisiert und der Tag-Wert geändert oder ersetzt wird. Beispielsweise könnte ein mit \$1Team: A\$1 erstellter Trainingsjob unsachgemäß aktualisiert und als \$1Team: B\$1 neu markiert werden. Infolgedessen werden die zulässigen Berechtigungen möglicherweise falsch zugewiesen. Daher ist Vorsicht geboten, wenn Benutzern oder Gruppen das Hinzufügen von Stichwörtern gestattet wird, da diese möglicherweise vorhandene Tagwerte überschreiben können. Es hat sich bewährt, Tag-Berechtigungen eng einzuschränken und IAM-Bedingungen zu verwenden, um die Tagging-Fähigkeiten zu kontrollieren.
+ *AWS generierte Tags* in SageMaker KI: SageMaker KI markiert automatisch bestimmte Ressourcen, die sie erstellt. Beispielsweise weisen Studio und Studio Classic das `sagemaker:domain-arn` Tag automatisch den von ihnen erstellten SageMaker KI-Ressourcen zu. Die Kennzeichnung neuer Ressourcen mit der Domain ARN ermöglicht die Rückverfolgbarkeit der Herkunft von SageMaker KI-Ressourcen wie Schulungsjobs, Modellen und Endpunkten. Für eine genauere Kontrolle und Nachverfolgung erhalten neue Ressourcen zusätzliche Tags wie:
+ `sagemaker:user-profile-arn`- Der ARN des Benutzerprofils, das die Ressource erstellt hat. Dies ermöglicht die Nachverfolgung von Ressourcen, die von bestimmten Benutzern erstellt wurden.
+ `sagemaker:space-arn`- Der ARN des Bereichs, in dem die Ressource erstellt wurde. Dies ermöglicht das Gruppieren und Isolieren von Ressourcen pro Bereich.
**Anmerkung**
AWS generierte Tags können von Benutzern nicht geändert werden.
Allgemeine Informationen zum Markieren von AWS Ressourcen und bewährte Methoden finden Sie unter Ressourcen [taggen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). AWS Informationen zu den wichtigsten Anwendungsfällen für Tagging finden Sie unter Anwendungsfälle [taggen](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html).
### Erteilen Sie beim Erstellen SageMaker von KI-Ressourcen die Erlaubnis, Tags hinzuzufügen
Sie können Benutzern (*benutzerdefinierte Tags*) oder Studio und Studio Classic (*AWS generierte Tags*) erlauben, bei der Erstellung Tags zu neuen SageMaker KI-Ressourcen hinzuzufügen. Dazu müssen ihre IAM-Berechtigungen beides beinhalten:
+ Die SageMaker Basis-KI-Erstellungsberechtigung für diesen Ressourcentyp.
+ Die `sagemaker:AddTags` Erlaubnis.
Um einem Benutzer beispielsweise die Möglichkeit zu geben, einen SageMaker Schulungsjob zu erstellen und ihn mit Tags zu versehen, müssten Berechtigungen für `sagemaker:CreateTrainingJob` und erteilt `sagemaker:AddTags` werden.
**Wichtig**
Benutzerdefinierte IAM-Richtlinien, die es Amazon SageMaker Studio oder Amazon SageMaker Studio Classic ermöglichen, Amazon SageMaker AI-Ressourcen zu erstellen, müssen auch Berechtigungen zum Hinzufügen von Tags zu diesen Ressourcen gewähren. Die Berechtigung zum Hinzufügen von Tags zu Ressourcen ist erforderlich, da Studio und Studio Classic automatisch alle von ihnen erstellten Ressourcen taggen. Wenn eine IAM-Richtlinie Studio und Studio Classic das Erstellen von Ressourcen, aber kein Tagging erlaubt, können "AccessDenied" Fehler beim Versuch, Ressourcen zu erstellen, auftreten.
[AWS verwaltete Richtlinien für Amazon SageMaker AI](security-iam-awsmanpol.md)die Berechtigungen zum Erstellen von SageMaker KI-Ressourcen gewähren, beinhalten bereits Berechtigungen zum Hinzufügen von Tags bei der Erstellung dieser Ressourcen.
Administratoren ordnen diese IAM-Berechtigungen entweder folgenden Personen zu:
+ AWS Dem Benutzer zugewiesene IAM-Rollen für benutzerdefinierte Tags
+ die Ausführungsrolle, die von Studio oder Studio Classic für AWS generierte Tags verwendet wird
Anweisungen zum Erstellen und Anwenden benutzerdefinierter IAM-Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
**Anmerkung**
Die Liste der Operationen zum Erstellen von SageMaker KI-Ressourcen finden Sie in der [SageMaker API-Dokumentation](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations_Amazon_SageMaker_Service.html), indem Sie nach Aktionen suchen, die mit beginnen. `Create` Diese Erstellungsaktionen, wie z. B. `CreateTrainingJob` und`CreateEndpoint`, sind die Operationen, mit denen neue SageMaker KI-Ressourcen erstellt werden.
**Fügen Sie bestimmten Erstellungsaktionen Tag-Berechtigungen hinzu**
Sie gewähren die `sagemaker:AddTags` Genehmigung mit Einschränkungen, indem Sie der ursprünglichen Richtlinie zur Ressourcenerstellung eine zusätzliche IAM-Richtlinie hinzufügen. Die folgende Beispielrichtlinie erlaubt`sagemaker:AddTags`, beschränkt sie aber auf nur bestimmte Aktionen zur Erstellung von SageMaker KI-Ressourcen wie`CreateTrainingJob`.
```
{
"Sid": "AllowAddTagsForCreateOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateTrainingJob"
}
}
}
```
Die Richtlinienbedingung beschränkt sich `sagemaker:AddTags` darauf, zusammen mit bestimmten Erstellungsaktionen verwendet zu werden. Bei diesem Ansatz bleibt die Erstellungsberechtigungsrichtlinie erhalten, während eine zusätzliche Richtlinie den eingeschränkten `sagemaker:AddTags` Zugriff ermöglicht. Diese Bedingung verhindert pauschale `sagemaker:AddTags` Genehmigungen, da sie eng auf Erstellungsaktionen beschränkt wird, die markiert werden müssen. Dadurch wird das Prinzip der geringsten Rechte für implementiert, `sagemaker:AddTags` indem es nur für bestimmte Anwendungsfälle zur Erstellung von SageMaker KI-Ressourcen zugelassen wird.
**Beispiel: Erlaube Tag-Berechtigungen global und beschränke Erstellungsaktionen auf eine Domain**
In diesem Beispiel für eine benutzerdefinierte IAM-Richtlinie veranschaulichen die ersten beiden Aussagen die Verwendung von Tags zur Nachverfolgung der Ressourcenerstellung. Sie ermöglicht die `sagemaker:CreateModel` Aktion für alle Ressourcen und das Markieren dieser Ressourcen, wenn diese Aktion verwendet wird. Die dritte Anweisung zeigt, wie Tag-Werte verwendet werden können, um Operationen mit Ressourcen zu steuern. In diesem Fall wird verhindert, dass SageMaker KI-Ressourcen erstellt werden, die mit einem bestimmten Domain-ARN gekennzeichnet sind, wodurch der Zugriff auf der Grundlage des Tag-Werts eingeschränkt wird.
Insbesondere gilt:
+ Die erste Anweisung ermöglicht die `CreateModel` Aktion für jede Ressource (). `*`
+ Die zweite Anweisung erlaubt die `sagemaker:AddTags` Aktion, aber nur, wenn der `sagemaker:TaggingAction` Bedingungsschlüssel gleich ist. `CreateModel` Dadurch wird die `sagemaker:AddTags` Aktion nur dann eingeschränkt, wenn sie zum Markieren eines neu erstellten Modells verwendet wird.
+ Die dritte Anweisung verweigert jegliche SageMaker AI create action (`Create*`) für eine Ressource (`*`), aber nur, wenn die Ressource ein Tag hat, das einem bestimmten Domain-ARN `sagemaker:domain-arn` entspricht,`domain-arn`.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"sagemaker:CreateModel"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":"*",
"Condition":{
"String":{
"sagemaker:TaggingAction":[
"CreateModel"
]
}
}
},
{
"Sid":"IsolateDomain",
"Effect":"Deny",
"Resource":"*",
"Action":[
"sagemaker:Create*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:domain-arn":"domain-arn"
}
}
}
]
}
```
## Beschränken Sie den Zugriff auf durchsuchbare Ressourcen mit Sichtbarkeitsbedingungen
Verwenden Sie Sichtbarkeitsbedingungen, um den Zugriff Ihrer Benutzer auf bestimmte markierte Ressourcen innerhalb eines AWS Kontos zu beschränken. Ihre Benutzer können nur auf die Ressourcen zugreifen, für die sie über Berechtigungen verfügen. Wenn Ihre Benutzer ihre Ressourcen durchsuchen, können sie die Suchergebnisse auf bestimmte Ressourcen beschränken.
Möglicherweise möchten Sie, dass Ihre Benutzer nur die Ressourcen sehen und mit ihnen interagieren, die mit bestimmten Amazon SageMaker Studio- oder Amazon SageMaker Studio Classic-Domains verknüpft sind. Sie können Sichtbarkeitsbedingungen verwenden, um ihren Zugriff auf eine einzelne Domain oder mehrere Domains zu beschränken.
```
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:AWS-Region:111122223333:domain/example-domain-1",
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:AWS-Region:111122223333:domain/example-domain-2"
}
}
}
```
Das allgemeine Format einer Sichtbarkeitsbedingung ist`"sagemaker:SearchVisibilityCondition/Tags.key": "value"`. Sie können das Schlüssel-Wert-Paar für jede markierte Ressource angeben.
```
{
"MaxResults": number,
"NextToken": "string",
"Resource": "string", # Required Parameter
"SearchExpression": {
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedFilters": [
{
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedPropertyName": "string"
}
],
"Operator": "string",
"SubExpressions": [
"SearchExpression"
]
},
"IsCrossAccount": "string",
"VisibilityConditions" : [ List of conditions for visibility
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:AWS-Region:111122223333:domain/example-domain-1"},
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:AWS-Region:111122223333:domain/example-domain-2"}
]
],
"SortBy": "string",
"SortOrder": "string"
}
```
Die darin enthaltene Sichtbarkeitsbedingung verwendet dieselbe `"sagemaker:SearchVisibilityCondition/Tags.key": "value"` Formatierung, die in der Richtlinie angegeben ist. Ihre Benutzer können die Schlüssel-Wert-Paare angeben, die für jede markierte Ressource verwendet werden.
Wenn ein Benutzer den `VisibilityConditions` Parameter in seine [Suchanfrage](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) einbezieht, aber die Zugriffsrichtlinie, die für diesen Benutzer gilt, keine Schlüssel enthält, die den Bedingungen entsprechen, die in angegeben wurden`VisibilityConditions`, ist die `Search` Anfrage trotzdem zulässig und wird ausgeführt.
Wenn in der [Such-API-Anforderung](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) des Benutzers kein `VisibilityConditions` Parameter angegeben ist, die für diesen Benutzer geltende Zugriffsrichtlinie jedoch Bedingungsschlüssel enthält, die sich auf diese beziehen`VisibilityConditions`, wird die `Search` Anfrage dieses Benutzers abgelehnt.
# Serviceübergreifende Confused-Deputy-Prävention
Das [Confused-Deputy-Problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. In kann AWS das Problem des verwirrten Stellvertreters aufgrund eines dienstübergreifenden Identitätswechsels auftreten. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *aufrufende Dienst) einen anderen Dienst* (den *aufgerufenen Dienst*) aufruft und die erhöhten Berechtigungen des aufgerufenen Dienstes nutzt, um auf Ressourcen zu reagieren, für die der aufrufende Dienst keine Zugriffsberechtigung hat. Um unbefugten Zugriff durch das Problem mit dem verwirrten Stellvertreter zu verhindern, AWS bietet dieses Tool Tools, mit denen Sie Ihre Daten dienstübergreifend schützen können. Mit diesen Tools können Sie kontrollieren, welche Berechtigungen Dienstprinzipalen erteilt werden, und deren Zugriff nur auf die Ressourcen in Ihrem Konto beschränken, die erforderlich sind. Durch die sorgfältige Verwaltung der Zugriffsrechte von Service Principals können Sie das Risiko verringern, dass Dienste nicht ordnungsgemäß auf Daten oder Ressourcen zugreifen, für die sie keine Berechtigungen haben sollten.
Lesen Sie weiter, um allgemeine Hinweise zu erhalten, oder navigieren Sie zu einem Beispiel für eine bestimmte SageMaker KI-Funktion:
**Topics**
+ [Beschränken Sie Berechtigungen mit globalen Bedingungsschlüsseln](#security-confused-deputy-context-keys)
+ [SageMaker Edge-Manager](#security-confused-deputy-edge-manager)
+ [SageMaker Bilder](#security-confused-deputy-images)
+ [SageMaker KI-Inferenz](#security-confused-deputy-inference)
+ [SageMaker Jobs zur Batch-Transformation mit KI](#security-confused-deputy-batch)
+ [SageMaker KI-Marktplatz](#security-confused-deputy-marketplace)
+ [SageMaker Neo](#security-confused-deputy-neo)
+ [SageMaker Rohrleitungen](#security-confused-deputy-pipelines)
+ [SageMaker Jobs werden verarbeitet](#security-confused-deputy-processing-job)
+ [SageMaker Studio](#security-confused-deputy-studio)
+ [SageMaker Ausbildungsberufe](#security-confused-deputy-training-job)
## Beschränken Sie Berechtigungen mit globalen Bedingungsschlüsseln
Wir empfehlen, die Schlüssel `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` und die `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen auf die Ressource zu beschränken, die Amazon SageMaker AI einem anderen Service zur Verfügung stellt. Wenn Sie beide globalen Konditionsschlüssel verwenden und der `aws:SourceArn` Wert die Konto-ID enthält, müssen der `aws:SourceAccount` Wert und das Konto im `aws:SourceArn` Wert die gleiche Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet werden. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der wirksamste Schutz gegen das Problem der verwechselten Stellvertreter ist die Verwendung des `aws:SourceArn` globalen Bedingungsschlüssels mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den `aws:SourceArn` globalen Bedingungsschlüssel mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:sagemaker:*:123456789012:*`.
Das folgende Beispiel zeigt, wie Sie die globalen Bedingungsschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in SageMaker KI verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sagemaker:StartSession",
"Resource": "arn:aws:sagemaker:us-east-1:123456789012:ResourceName/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
## SageMaker Edge-Manager
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem mit verwirrtem Deputy für SageMaker Edge Manager zu verhindern, das durch die Kontonummer *123456789012* in der *us-west-2* Region verursacht wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Paketierungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
## SageMaker Bilder
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem Confused Deputy für [SageMaker Images](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html) zu verhindern. Verwenden Sie diese Vorlage entweder mit `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` oder `[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. In diesem Beispiel wird ein `ImageVersion` Datensatz-ARN mit der Kontonummer verwendet*123456789012*. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da die Kontonummer Teil des `aws:SourceArn` Werts ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-2:123456789012:image-version/*"
}
}
}
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Images oder einer bestimmten Image-Version. Der ARN muss das oben angegebene Format haben und entweder `image` oder `image-version` angeben. Der `partition` Platzhalter sollte entweder eine AWS kommerzielle Partition (`aws`) oder eine Partition AWS in China (`aws-cn`) bezeichnen, je nachdem, wo das Image oder die Image-Version ausgeführt wird. Ebenso kann der `region` Platzhalter im ARN eine beliebige [gültige Region](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) sein, in der SageMaker Bilder verfügbar sind.
## SageMaker KI-Inferenz
[Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Confused Deputy Problem für SageMaker [KI-Echtzeit](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints) -, [serverlose](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints) und asynchrone Inferenz zu verhindern.](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da die Kontonummer Teil des `aws:SourceArn` Werts ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Modells oder Endpunkts. Der ARN muss in dem oben angegebenen Format vorliegen. Das Sternchen in der ARN-Vorlage steht nicht für Platzhalter und sollte nicht geändert werden.
## SageMaker Jobs zur Batch-Transformation mit KI
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem des verwirrten Stellvertreters bei SageMaker [AI-Batch-Transformationsaufträgen](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) zu verhindern, die nach Kontonummer *123456789012* in der *us-west-2* Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*"
}
}
}
]
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Batch-Transformationsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
## SageMaker KI-Marktplatz
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem des verwirrten Stellvertreters für SageMaker AI Marketplace-Ressourcen zu verhindern, die anhand der Kontonummer *123456789012* in der *us-west-2* Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN eines bestimmten Algorithmus oder Modellpakets. Der ARN muss in dem oben angegebenen Format vorliegen. Das Sternchen in der ARN-Vorlage steht für Platzhalter und deckt alle Trainingsjobs, Modelle und Batch-Transformationsjobs aus Validierungsschritten sowie Algorithmus- und Modellpakete ab, die auf SageMaker AI Marketplace veröffentlicht wurden.
## SageMaker Neo
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Confused Deputy Problem bei SageMaker Neo-Kompilierungsaufträgen zu verhindern, die anhand der Kontonummer *123456789012* in der *us-west-2* Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*"
}
}
}
]
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Kompilierungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
## SageMaker Rohrleitungen
Das folgende Beispiel zeigt, wie Sie mithilfe des `aws:SourceArn` globalen Bedingungsschlüssels verhindern können, dass [SageMaker Pipelines mithilfe von Pipeline-Ausführungsdatensätzen aus einer oder mehreren Pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) das dienstübergreifende Problem verwirrter Deployes auftreten. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:pipeline/mypipeline/*"
}
}
}
]
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN einer bestimmten Pipeline-Ausführung. Der ARN muss in dem oben angegebenen Format vorliegen. Der `partition` Platzhalter sollte entweder eine AWS kommerzielle Partition (`aws`) oder eine Partition AWS in China (`aws-cn`) bezeichnen, je nachdem, wo die Pipeline läuft. Ebenso kann der `region` Platzhalter im ARN eine beliebige [gültige Region](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) sein, in der SageMaker Pipelines verfügbar ist.
Das Sternchen in der ARN-Vorlage steht für Platzhalter und deckt alle Pipeline-Ausführungen einer Pipeline mit dem Namen `mypipeline` ab. Wenn Sie die `AssumeRole` Berechtigungen für alle Pipelines im Konto `123456789012` und nicht für eine bestimmte Pipeline gewähren möchten, dann wäre der `aws:SourceArn` gleich `arn:aws:sagemaker:*:123456789012:pipeline/*`.
## SageMaker Jobs werden verarbeitet
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem der verwirrten Stellvertreter bei der SageMaker Verarbeitung von Aufträgen zu verhindern, die nach Kontonummer *123456789012* in der *us-west-2* Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*"
}
}
}
]
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Verarbeitungsauftrags ersetzen, um die Berechtigungen weiter einzuschränken.
## SageMaker Studio
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienstübergreifende Problem der verwirrten Deputy in SageMaker Studio zu verhindern, das durch die Kontonummer *123456789012* in der *us-west-2* Region verursacht wurde. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da die Kontonummer Teil des `aws:SourceArn` Werts ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Ersetzen Sie das `aws:SourceArn` in dieser Vorlage nicht durch den vollständigen ARN einer bestimmten Studio-Anwendung, eines Benutzerprofils oder einer Domain. Der ARN muss das im vorherigen Beispiel angegebene Format sein. Das Sternchen in der ARN-Vorlage steht nicht für Platzhalter und sollte nicht geändert werden.
## SageMaker Ausbildungsberufe
Das folgende Beispiel zeigt, wie Sie den `aws:SourceArn` globalen Bedingungsschlüssel verwenden können, um das dienststellenübergreifende Problem der verwirrten Stellvertreter bei SageMaker Schulungsjobs zu vermeiden, die nach Kontonummer *123456789012* in der *us-west-2* Region erstellt wurden. Beachten Sie, dass Sie keinen `aws:SourceAccount` Wert angeben müssen, da sich die Kontonummer im ARN befindet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*"
}
}
}
]
}
```
------
Sie können das `aws:SourceArn` in dieser Vorlage enthaltene durch den vollständigen ARN eines bestimmten Trainingsaufträge ersetzen, um die Berechtigungen weiter einzuschränken.
**Nächstes Thema**
Weitere Informationen zur Verwaltung von Ausführungsrollen finden Sie unter [SageMaker KI-Rollen](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).
# Wie verwendet man SageMaker AI-Ausführungsrollen
Amazon SageMaker AI führt Operationen in Ihrem Namen mithilfe anderer AWS Dienste durch. Sie müssen SageMaker KI Berechtigungen zur Nutzung dieser Dienste und der Ressourcen, auf die sie zurückgreifen, erteilen. Sie gewähren SageMaker KI diese Berechtigungen mithilfe einer AWS Identity and Access Management (IAM-) Ausführungsrolle. Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Verwenden Sie zum Erstellen und Verwenden einer Ausführungsrolle die folgenden Verfahren.
## Erstellen einer Ausführungsrolle
Gehen Sie wie folgt vor, um eine Ausführungsrolle mit der angehängten IAM-verwalteten Richtlinie, `AmazonSageMakerFullAccess`, zu erstellen. Wenn Ihr Anwendungsfall detailliertere Berechtigungen erfordert, verwenden Sie andere Abschnitte auf dieser Seite, um eine Ausführungsrolle zu erstellen, die Ihren Geschäftsanforderungen entspricht. Sie können eine Ausführungsrolle mithilfe der SageMaker AI-Konsole oder der AWS CLI erstellen.
**Wichtig**
Die im folgenden Verfahren verwendete IAM-verwaltete Richtlinie, `AmazonSageMakerFullAccess`, gewährt der Ausführungsrolle nur die Berechtigung, bestimmte Amazon S3-Aktionen für Buckets oder Objekte mit `SageMaker`, `Sagemaker`, `sagemaker` oder `aws-glue` im Namen auszuführen. Informationen zum Hinzufügen einer zusätzlichen Richtlinie zu einer Ausführungsrolle, um ihr Zugriff auf andere Amazon-S3-Buckets und -Objekte zu gewähren, finden Sie unter [Zusätzliche Amazon S3 S3-Berechtigungen zu einer SageMaker KI-Ausführungsrolle hinzufügen](#sagemaker-roles-get-execution-role-s3).
**Anmerkung**
Sie können eine Ausführungsrolle direkt erstellen, wenn Sie eine SageMaker AI-Domäne oder eine Notebook-Instanz erstellen.
Informationen zum Erstellen einer SageMaker AI-Domain finden Sie unter[Leitfaden für die Einrichtung von Amazon SageMaker AI](gs.md).
Informationen über die Erstellung einer Notebook-Instance finden Sie unter [Erstellen Sie eine Amazon SageMaker Notebook-Instance für das Tutorial](gs-setup-working-env.md).
**So erstellen Sie eine neue Ausführungsrolle über die SageMaker AI-Konsole**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie **Roles (Rollen)** und anschließend **Create role (Rolle erstellen)**.
1. Verwenden Sie für den **AWS Dienst** den **Entitätstyp Vertrauenswürdig** und verwenden Sie dann den Abwärtspfeil, um unter **Anwendungsfälle für andere AWS Dienste** nach **SageMaker KI** zu suchen.
1. Wählen Sie **SageMaker KI — Ausführung** und dann **Weiter**.
1. Die von IAM verwaltete Richtlinie,`AmazonSageMakerFullAccess`, wird automatisch an die Rolle angefügt. Um die in dieser Richtlinie enthaltenen Berechtigungen zu sehen, wählen Sie das Pluszeichen (**\$1**) neben dem Richtliniennamen. Wählen Sie **Weiter** aus.
1. Geben Sie einen **Rollennamen** und eine **Beschreibung** ein.
1. (Optional) Fügen Sie der Rolle zusätzliche Berechtigungen und Tags hinzu.
1. Wählen Sie **Rolle erstellen** aus.
1. Suchen Sie im Bereich **Rollen** der IAM-Konsole nach der Rolle, die Sie gerade erstellt haben. Verwenden Sie bei Bedarf das Textfeld, um anhand des Rollennamens nach der Rolle zu suchen.
1. Notieren Sie sich auf der Seite mit der Rollenübersicht den ARN.
**Um eine neue Ausführungsrolle aus dem AWS CLI zu erstellen**
Bevor Sie eine Ausführungsrolle mithilfe der erstellen, stellen Sie sicher AWS CLI, dass Sie sie aktualisieren und konfigurieren[(Optional) Konfigurieren Sie AWS CLI](gs-set-up.md#gs-cli-prereq), indem Sie den Anweisungen unter folgen. Fahren Sie dann mit den Anweisungen unter fort[Benutzerdefiniertes Setup mit dem AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Sobald Sie eine Ausführungsrolle erstellt haben, können Sie sie einer SageMaker AI-Domäne, einem Benutzerprofil oder einer Jupyter-Notebook-Instanz zuordnen.
+ Informationen zum Zuordnen einer Ausführungsrolle zu einer vorhandenen SageMaker AI-Domain finden Sie unter. [Bearbeiten von Domaineinstellungen](domain-edit.md)
+ Informationen darüber, wie Sie eine Ausführungsrolle einem vorhandenen Benutzerprofil zuordnen, finden Sie unter [Benutzerprofil hinzufügen](domain-user-profile-add.md).
+ Informationen zum Zuordnen einer Ausführungsrolle zu einer vorhandenen Notebook-Instance finden Sie unter [Aktualisiert eine Notebook-Instance](nbi-update.md).
Sie können auch den ARN einer Ausführungsrolle an Ihren API-Aufruf übergeben. Mit dem [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) können Sie beispielsweise den ARN Ihrer Ausführungsrolle an einen Schätzer übergeben. Im folgenden Codebeispiel erstellen wir mithilfe des XGBoost Algorithmuscontainers einen Schätzer und übergeben den ARN der Ausführungsrolle als Parameter. Das vollständige Beispiel finden Sie unter [Prognose der GitHub Kundenabwanderung](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb) mit. XGBoost
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Zusätzliche Amazon S3 S3-Berechtigungen zu einer SageMaker KI-Ausführungsrolle hinzufügen
Wenn Sie eine SageMaker KI-Funktion mit Ressourcen in Amazon S3 verwenden, wie z. B. Eingabedaten, wird die Ausführungsrolle, die Sie in Ihrer Anfrage angeben (zum Beispiel`CreateTrainingJob`), für den Zugriff auf diese Ressourcen verwendet.
Wenn Sie die von IAM verwaltete Richtlinie, `AmazonSageMakerFullAccess`, an eine Ausführungsrolle anhängen, hat diese Rolle die Berechtigung, bestimmte Amazon S3-Aktionen für Buckets oder Objekte mit `SageMaker`, `Sagemaker`, `sagemaker` oder `aws-glue` im Namen auszuführen. Es ist auch berechtigt, die folgenden Aktionen auf jeder Amazon S3-Ressource durchzuführen:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Um einer Ausführungsrolle Berechtigungen für den Zugriff auf einen oder mehrere bestimmte Buckets in Amazon S3 zu erteilen, können Sie der Rolle eine Richtlinie ähnlich der folgenden hinzufügen. Diese Richtlinie gewährt einer IAM-Rolle die Berechtigung, alle Aktionen auszuführen, die `AmazonSageMakerFullAccess` erlaubt, schränkt diesen Zugriff jedoch auf die Buckets amzn-s3-demo-bucket1 und amzn-s3-demo-bucket2 ein. Weitere Informationen zu den für diese Funktion erforderlichen Amazon S3 S3-Berechtigungen finden Sie in der Sicherheitsdokumentation der jeweiligen SageMaker KI-Funktion, die Sie verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
------
## Abrufen Ihrer Ausführungsrolle
Sie können die [SageMaker AI-Konsole](https://console.aws.amazon.com/sagemaker), das [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) oder das verwenden, [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)um den ARN und den Namen der Ausführungsrolle abzurufen, die einer SageMaker AI-Domäne, einem Bereich oder einem Benutzerprofil zugeordnet ist.
**Topics**
+ [Ausführungsrolle für die Domain abrufen](#sagemaker-roles-get-execution-role-domain)
+ [Abrufen der Bereichsausführungsrolle](#sagemaker-roles-get-execution-role-space)
+ [Abrufen der Benutzerausführungsrolle](#sagemaker-roles-get-execution-role-user)
### Ausführungsrolle für die Domain abrufen
Im Folgenden finden Sie Anweisungen zur Suche nach der Ausführungsrolle Ihrer Domain.
#### Ausführungsrolle für die Domain abrufen (Konsole)
**Ermitteln der Ausführungsrolle, die Ihrer Domain zugeordnet ist**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Domain-Einstellungen** aus.
1. Im Abschnitt **Allgemeine Einstellungen** ist der ARN für die Ausführungsrolle unter **Ausführungsrolle** aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
### Abrufen der Bereichsausführungsrolle
Im Folgenden finden Sie Anweisungen, wie Sie die Ausführungsrolle Ihres Bereichs ermitteln können.
#### Ausführungsrolle für Speicherplatz abrufen (Konsole)
**Finde die deinem Space zugeordnete Ausführungsrolle**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Speicherverwaltung** aus.
1. Im Abschnitt **Details** ist der ARN der Ausführungsrolle unter **Ausführungsrolle** aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
#### Ausführungsrolle für Speicherplatz abrufen (SDK für Python)
**Anmerkung**
Der folgende Code soll in einer SageMaker KI-Umgebung ausgeführt werden, wie jeder IDEs in Amazon SageMaker Studio. Sie erhalten eine Fehlermeldung, wenn Sie `get_execution_role` außerhalb einer SageMaker KI-Umgebung laufen.
Der folgende [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)[Amazon SageMaker Python SDK-Befehl](https://sagemaker.readthedocs.io/en/stable) ruft den ARN der Ausführungsrolle ab, die dem Space zugeordnet ist.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
### Abrufen der Benutzerausführungsrolle
Im Folgenden finden Sie Anweisungen zur Suche nach der Ausführungsrolle eines Benutzers.
#### Ausführungsrolle des Benutzers abrufen (Konsole)
**Finden Sie die Ausführungsrolle, die einem Benutzer zugewiesen ist**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Benutzerprofile** aus.
1. Wählen Sie den Link, der Ihrem Benutzer entspricht.
1. Im Abschnitt **Details** ist der ARN der Ausführungsrolle unter **Ausführungsrolle** aufgeführt.
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
#### Ruft die Space-Ausführungsrolle ab (AWS CLI)
**Anmerkung**
Um die folgenden Beispiele verwenden zu können, müssen Sie AWS Command Line Interface (AWS CLI) installiert und konfiguriert haben. Weitere Informationen finden Sie unter [Erste Schritte mit der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) im *AWS Command Line Interface -Benutzerhandbuch für Version 2*.
Der folgende [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI -Befehl zeigt Informationen über die IAM-Identität an, die zur Authentifizierung der Anfrage verwendet wurde. Der Anrufer ist ein IAM-Benutzer.
```
aws sts get-caller-identity
```
Der Name der Ausführungsrolle steht hinter dem letzten Namen `/` im ARN der Ausführungsrolle.
## Ändern Sie Ihre Ausführungsrolle
Eine Ausführungsrolle ist eine IAM-Rolle, die eine SageMaker KI-Identität (wie ein SageMaker KI-Benutzer, ein Bereich oder eine Domäne) annimmt. Wenn Sie die IAM-Rolle ändern, ändern sich die Berechtigungen für alle Identitäten, die diese Rolle übernehmen.
Wenn Sie eine Ausführungsrolle ändern, ändert sich auch die Ausführungsrolle des entsprechenden Bereichs. Die VerarbeitWeiterleitung der Auswirkungen der Änderung kann einige Zeit dauern.
+ Wenn Sie die *Ausführungsrolle eines Benutzers* ändern, übernehmen die von diesem Benutzer erstellten *privaten Bereiche* die geänderte Ausführungsrolle.
+ Wenn Sie die *standardmäßige Ausführungsrolle eines Bereichs* ändern, übernehmen die *gemeinsam genutzten Bereiche* in der Domain die geänderte Ausführungsrolle.
Weitere Informationen zu Ausführungsrollen und Bereichen finden Sie unter[Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen](execution-roles-and-spaces.md).
Sie können die Ausführungsrolle für eine Identität in eine andere IAM-Rolle ändern, indem Sie eine der folgenden Anweisungen verwenden.
Wenn Sie stattdessen eine Rolle *ändern* möchten, die eine Identität annimmt, finden Sie [Ändern Sie die Berechtigungen für die Ausführungsrolle](#sagemaker-roles-modify-to-execution-role) weitere Informationen unter.
**Topics**
+ [Ändern Sie die standardmäßige Ausführungsrolle der Domain](#sagemaker-roles-change-execution-role-domain)
+ [Ändern Sie die standardmäßige Ausführungsrolle von Space](#sagemaker-roles-change-execution-role-space)
+ [Ändern Sie die Ausführungsrolle des Benutzerprofils](#sagemaker-roles-change-execution-role-user)
### Ändern Sie die standardmäßige Ausführungsrolle der Domain
Im Folgenden finden Sie Anweisungen zum Ändern der standardmäßigen Ausführungsrolle Ihrer Domain.
#### Ändern Sie die Standard-Ausführungsrolle der Domain (Konsole)
**Ändern Sie die Ihrer Domain zugeordnete Standardausführungsrolle**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Domain-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Allgemeine Einstellungen** die Option **Bearbeiten** aus.
1. Erweitern Sie im Abschnitt **Berechtigungen** unter **Standardausführungsrolle** die Dropdownliste.
1. In der Dropdown-Liste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „**Rolle mithilfe des Assistenten zur Rollenerstellung erstellen**“ auswählen.
1. Wählen Sie in den folgenden Schritten „Weiter“ und im letzten Schritt „Senden“.
### Ändern Sie die standardmäßige Ausführungsrolle von Space
Im Folgenden finden Sie Anweisungen zum Ändern der Standard-Ausführungsrolle Ihres Bereiche. Wenn Sie diese Ausführungsrolle ändern, ändert sich auch die Rolle, die von allen gemeinsam genutzten Bereichen in der Domain eingenommen wird.
#### Ändern der standardmäßigen Ausführungsrolle (Konsole)
**Ändern Sie die Standard-Ausführungsrolle für den Space, wenn Sie einen neuen Space erstellen**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Domain-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Allgemeine Einstellungen** die Option **Bearbeiten** aus.
1. Erweitern Sie im Abschnitt **Berechtigungen** unter **Space (Standardausführungsrolle**) die Dropdownliste.
1. In der Dropdown-Liste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „**Rolle mithilfe des Assistenten zur Rollenerstellung erstellen**“ auswählen.
1. Wählen Sie in den folgenden Schritten „**Weiter**“ und im letzten Schritt „**Senden**“.
### Ändern Sie die Ausführungsrolle des Benutzerprofils
Im Folgenden finden Sie Anweisungen zum Ändern der Ausführungsrolle eines Benutzers. Wenn Sie diese Ausführungsrolle ändern, ändert sich auch die Rolle, die von allen privaten Bereichen übernommen wird, die von diesem Benutzer erstellt wurden.
#### Ändern der Ausführungsrolle des Benutzerprofils (Konsole)
**Ändern der Ausführungsrolle, die einem Benutzer zugewiesen ist**
1. Öffnen Sie die SageMaker AI-Konsole, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Wählen Sie im linken Navigationsbereich unter **Admin-Konfigurationen** die Option **Domains** aus.
1. Wählen Sie den Link, der Ihrer Domain entspricht.
1. Wählen Sie die Registerkarte **Benutzerprofile** aus.
1. Wählen Sie den Link, der dem Namen des Benutzerprofils entspricht.
1. Wählen Sie **Bearbeiten** aus.
1. In der Dropdown-Liste können Sie eine vorhandene Rolle auswählen, einen benutzerdefinierten IAM-Rollen-ARN eingeben oder eine neue Rolle erstellen.
Wenn Sie eine neue Rolle erstellen möchten, können Sie die Option „**Rolle mithilfe des Assistenten zur Rollenerstellung erstellen**“ auswählen.
1. Wählen Sie in den folgenden Schritten „**Weiter**“ und im letzten Schritt „**Senden**“.
## Ändern Sie die Berechtigungen für die Ausführungsrolle
Sie können bestehende Berechtigungen für die Ausführungsrolle einer Identität (z. B. eines SageMaker KI-Benutzers, eines Bereichs oder einer Domäne) ändern. Dazu müssen Sie die entsprechende IAM-Rolle finden, die die Identität annimmt, und dann diese IAM-Rolle ändern. Im Folgenden finden Sie Anweisungen, wie Sie dies über die Konsole erreichen können.
Wenn Sie eine Ausführungsrolle ändern, ändert sich auch die Ausführungsrolle des entsprechenden Bereichs. Die Änderung wirkt sich möglicherweise nicht unmittelbar aus.
+ Wenn Sie die *Ausführungsrolle eines Benutzers* ändern, übernehmen die von diesem Benutzer erstellten *privaten Bereiche* die geänderte Ausführungsrolle.
+ Wenn Sie die *standardmäßige Ausführungsrolle eines Bereichs* ändern, übernehmen die *gemeinsam genutzten Bereiche* in der Domain die geänderte Ausführungsrolle.
Weitere Informationen zu Ausführungsrollen und Bereichen finden Sie unter[Grundlegendes zu Domainbereichsberechtigungen und Ausführungsrollen](execution-roles-and-spaces.md).
Wenn Sie stattdessen eine Rolle *ändern* möchten, die eine Identität annimmt, finden Sie unter[Ändern Sie Ihre Ausführungsrolle](#sagemaker-roles-change-execution-role).
### Ändern Sie die Berechtigungen für die Ausführungsrolle (Konsole)
**So ändern Sie die Berechtigungen für Ihre Ausführungsrollen**
1. Rufen Sie zunächst den Namen der Identität ab, die Sie ändern möchten.
+ [Ausführungsrolle für die Domain abrufen](#sagemaker-roles-get-execution-role-domain)
+ [Abrufen der Bereichsausführungsrolle](#sagemaker-roles-get-execution-role-space)
+ [Abrufen der Benutzerausführungsrolle](#sagemaker-roles-get-execution-role-user)
1. Informationen zum Ändern einer Rolle, die eine Identität annimmt, finden Sie unter [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) im *AWS Identity and Access Management Benutzerhandbuch*.
Weitere Informationen und Anweisungen zum Hinzufügen von Berechtigungen zu IAM-Identitäten finden Sie unter [Hinzufügen und Entfernen von Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *AWS Identity and Access Management -Benutzerhandbuch*.
## Rollen weitergeben
Aktionen wie das Übergeben einer Rolle zwischen Diensten sind eine übliche Funktion innerhalb von SageMaker KI. Weitere Informationen zu [Aktionen, Ressourcen und Bedingungsschlüsseln für SageMaker KI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) finden Sie in der *Service Authorization Reference*.
Sie übergeben die Rolle (`iam:PassRole`) bei diesen API-Aufrufen: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) und [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Sie fügen der IAM-Rolle die folgende Vertrauensrichtlinie hinzu, die SageMaker AI-Prinzipalberechtigungen zur Übernahme der Rolle gewährt. Sie gilt für alle Ausführungsrollen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Die Berechtigungen, die der Rolle erteilt werden müssen, hängen von der aufgerufenen API ab. Die folgenden Abschnitte erläutern diese Berechtigungen.
**Anmerkung**
Anstatt Berechtigungen zu verwalten, indem Sie eine Berechtigungsrichtlinie erstellen, können Sie die AWS-managed `AmazonSageMakerFullAccess` Permission Policy verwenden. Die Berechtigungen in dieser Richtlinie sind ziemlich breit gefächert und ermöglichen alle Aktionen, die Sie möglicherweise in SageMaker KI ausführen möchten. Eine Liste der Richtlinien einschließlich Informationen über die Gründe für das Hinzufügen vieler dieser Zugriffsrechte, finden Sie unter [AWS verwaltete Richtlinie: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Wenn Sie lieber benutzerdefinierte Richtlinien erstellen und Berechtigungen so verwalten möchten, dass sie nur für die Aktionen, die Sie mit der Ausführungsrolle durchführen müssen, gelten, lesen Sie die folgenden Themen.
**Wichtig**
Wenn Sie auf Probleme stoßen, finden Sie weitere Informationen unter [Fehlerbehebung bei Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md).
Weitere Informationen zu IAM-Rollen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) in der *Serviceautorisierungsreferenz*.
**Topics**
+ [Erstellen einer Ausführungsrolle](#sagemaker-roles-create-execution-role)
+ [Abrufen Ihrer Ausführungsrolle](#sagemaker-roles-get-execution-role)
+ [Ändern Sie Ihre Ausführungsrolle](#sagemaker-roles-change-execution-role)
+ [Ändern Sie die Berechtigungen für die Ausführungsrolle](#sagemaker-roles-modify-to-execution-role)
+ [Rollen weitergeben](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob und CreateAuto MLJob V2-API: Berechtigungen für Ausführungsrollen](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createdomain-perms)
+ [CreateImage und UpdateImage APIs: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: Berechtigungen für Ausführungsrollen](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: Berechtigungen für die Ausführungsrolle](#sagemaker-roles-createmodel-perms)
+ [SageMaker Funktionen und Rollen im Zusammenhang mit räumlichen Daten](sagemaker-geospatial-roles.md)
## CreateAutoMLJob und CreateAuto MLJob V2-API: Berechtigungen für Ausführungsrollen
Für eine Ausführungsrolle, die Sie in einer – `CreateAutoMLJob`oder `CreateAutoMLJobV2`-API-Anfrage übergeben können, können Sie die folgende Berechtigungsrichtlinie an die Rolle anfügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Wenn Sie eine private VPC für Ihren AutoML-Auftrag angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Wenn Sie einen KMS-Schlüssel in der Ausgabekonfiguration Ihres AutoML-Auftrags angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Wenn Sie einen Volume-KMS-Schlüssel in der Ressourcenkonfiguration Ihres AutoML-Auftrags angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: Berechtigungen für die Ausführungsrolle
Die Ausführungsrolle für Domänen mit IAM Identity Center und die user/execution Rolle für IAM-Domänen benötigen die folgenden Berechtigungen, wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel `KmsKeyId` in der `CreateDomain` API-Anfrage übergeben. Die Berechtigungen werden während des `CreateApp` API-Aufrufs durchgesetzt.
Bei einer Ausführungsrolle, die Sie in einer `CreateDomain`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
Wenn die Berechtigungen in einer KMS-Richtlinie angegeben sind, können Sie der Rolle alternativ die folgende Richtlinie hinzufügen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage und UpdateImage APIs: Berechtigungen für die Ausführungsrolle
Für eine Ausführungsrolle, die Sie in einer – `CreateImage`oder `UpdateImage`-API-Anfrage übergeben können, können Sie die folgende Berechtigungsrichtlinie an die Rolle anhängen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: Berechtigungen für Ausführungsrollen
Die Berechtigungen, die Sie der Ausführungsrolle für den Aufruf der `CreateNotebookInstance`-API erteilen, hängen davon ab, was Sie mit der Notebook-Instance tun möchten. Wenn Sie damit SageMaker KI aufrufen und dieselbe Rolle beim Aufrufen von APIs und übergeben möchten `CreateModel` APIs, fügen Sie der `CreateTrainingJob` Rolle die folgende Berechtigungsrichtlinie hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Um die Berechtigungen einzuschränken, beschränken Sie sie auf bestimmte Amazon S3- und Amazon ECR-Ressourcen, indem Sie `"Resource": "*"` wie folgt einschränken:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object1",
"arn:aws:s3:::outputbucket/path",
"arn:aws:s3:::inputbucket/object2",
"arn:aws:s3:::inputbucket/object3"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo1",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo2",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo3"
]
}
]
}
```
------
Wenn Sie planen, auf andere Ressourcen wie Amazon DynamoDB oder Amazon Relational Database Service zuzugreifen, fügen Sie die entsprechenden Berechtigungen zu dieser Richtlinie hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie die `s3:ListBucket`-Berechtigung dem spezifischen Bucket zu, den Sie als `InputDataConfig.DataSource.S3DataSource.S3Uri` in einer `CreateTrainingJob`-Anforderung angegeben haben.
+ Weisen Sie die Berechtigungen `s3:GetObject `, `s3:PutObject` und `s3:DeleteObject` folgendermaßen zu:
+ Begrenzen Sie auf die folgenden Werte, die Sie in einer `CreateTrainingJob`-Anforderung definieren:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Begrenzen Sie auf die folgenden Werte, die Sie in einer `CreateModel`-Anforderung definieren:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ Weisen Sie die `ecr`-Berechtigungen folgendermaßen zu:
+ Begrenzen Sie auf den `AlgorithmSpecification.TrainingImage`-Wert, den Sie in einer `CreateTrainingJob`-Anforderung definieren.
+ Begrenzen Sie auf den `PrimaryContainer.Image`-Wert, den Sie in einer `CreateModel`-Anforderung definieren:
Die Aktionen `cloudwatch` und `logs` gelten für die Ressourcen "\$1". Weitere Informationen finden Sie unter [CloudWatch Ressourcen und Betrieb](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
## CreateHyperParameterTuningJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `CreateHyperParameterTuningJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Anstatt dies zu spezifizieren`"Resource": "*"`, könnten Sie diese Berechtigungen auf bestimmte Amazon S3-, Amazon ECR- und Amazon CloudWatch Logs-Ressourcen beschränken:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Wenn der mit dem Hyperparameter-Abstimmungsauftrag verbundene Trainingscontainer auf andere Datenquellen wie DynamoDB- oder Amazon RDS-Ressourcen zugreifen muss, fügen Sie dieser Richtlinie die entsprechenden Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie die `s3:ListBucket`-Berechtigung einem spezifischen Bucket zu, den Sie als `InputDataConfig.DataSource.S3DataSource.S3Uri` in einer `CreateTrainingJob`-Anforderung angeben.
+ Weisen Sie die Berechtigungen `s3:GetObject `und `s3:PutObject` folgenden Objekten zu, die Sie in der Ein- und Ausgabedatenkonfiguration in einer `CreateHyperParameterTuningJob`-Anforderung spezifizieren:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (`AlgorithmSpecification.TrainingImage`), den Sie in einer `CreateHyperParameterTuningJob` Anfrage angeben.
+ Umfang der Amazon CloudWatch Logs-Berechtigungen zum Protokollieren von Gruppen von SageMaker Schulungsaufträgen.
Die `cloudwatch` Aktionen gelten für die Ressourcen "\$1". Weitere Informationen finden Sie unter [ CloudWatch Ressourcen und Betrieb](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für den Hyperparameter-Optimierungsauftrag angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt wurde, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Wenn Sie in der Ausgabekonfiguration Ihres Hyperparameter-Optimierungsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Wenn Sie in der Ressourcenkonfiguration Ihres Hyperparameter-Optimierungsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `CreateProcessingJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Anstatt `"Resource": "*"` anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Wenn `CreateProcessingJob.AppSpecification.ImageUri` auf andere Datenquellen, wie DynamoDB- oder Amazon RDS-Ressourcen, zugreifen muss, fügen Sie dieser Richtlinie entsprechende Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie die `s3:ListBucket`-Berechtigung einem spezifischen Bucket zu, den Sie als `ProcessingInputs` in einer `CreateProcessingJob`-Anforderung angeben.
+ Gültigkeitsbereich der Berechtigungen `s3:GetObject ` und `s3:PutObject` für die Objekte, die in der `ProcessingInputs` und `ProcessingOutputConfig` in einer `CreateProcessingJob`-Anforderung heruntergeladen oder hochgeladen werden.
+ Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (`AppSpecification.ImageUri`), den Sie in einer `CreateProcessingJob` Anfrage angeben.
Die Aktionen `cloudwatch` und `logs` gelten für die Ressourcen "\$1". Weitere Informationen finden Sie unter [CloudWatch Ressourcen und Betrieb](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für Ihren Verarbeitungsauftrag angeben, fügen Sie die folgenden Berechtigungen hinzu. Geben Sie in der Richtlinie keine Bedingungen oder Ressourcenfilter an. Andernfalls schlagen die Validierungsprüfungen, die während der Erstellung des Verarbeitungsauftrags durchgeführt werden, fehl.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt wurde, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Wenn Sie in der Ausgabekonfiguration Ihres Verarbeitungsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Wenn Sie in der Ressourcenkonfiguration Ihres Verarbeitungsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `CreateTrainingJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Anstatt `"Resource": "*"` anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Wenn `CreateTrainingJob.AlgorithSpecifications.TrainingImage` auf andere Datenquellen, wie DynamoDB- oder Amazon RDS-Ressourcen, zugreifen muss, fügen Sie dieser Richtlinie entsprechende Berechtigungen hinzu.
Wenn Sie mithilfe des `AlgorithmSpecification.AlgorithmArn` Parameters eine Algorithmusressource angeben, muss die Ausführungsrolle auch über die folgenden Berechtigungen verfügen:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie die `s3:ListBucket`-Berechtigung einem spezifischen Bucket zu, den Sie als `InputDataConfig.DataSource.S3DataSource.S3Uri` in einer `CreateTrainingJob`-Anforderung angeben.
+ Weisen Sie die Berechtigungen `s3:GetObject `und `s3:PutObject` folgenden Objekten zu, die Sie in der Ein- und Ausgabedatenkonfiguration in einer `CreateTrainingJob`-Anforderung spezifizieren:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Erweitern Sie Amazon ECR-Berechtigungen auf den Registry-Pfad (`AlgorithmSpecification.TrainingImage`), den Sie in einer `CreateTrainingJob` Anfrage angeben.
Die Aktionen `cloudwatch` und `logs` gelten für die Ressourcen "\$1". Weitere Informationen finden Sie unter [CloudWatch Ressourcen und Betrieb](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
Wenn Sie eine private VPC für den Trainingsjob angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Wenn Ihre Eingabe serverseitig mit einem von AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt wurde, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Wenn Sie in der Ausgabekonfiguration Ihres Trainingsauftrags einen KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Wenn Sie in der Ressourcenkonfiguration Ihres Trainingsauftrags einen Volume-KMS-Schlüssel angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `CreateModel`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Anstatt `"Resource": "*"` anzugeben, können Sie diese Berechtigungen auf bestimmte Amazon S3- und Amazon ECR-Ressourcen anwenden:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
]
}
]
}
```
------
Wenn `CreateModel.PrimaryContainer.Image` Zugriff auf andere Datenquellen – z. B. Amazon DynamoDB- oder Amazon RDS-Ressourcen – benötigt, fügen Sie dieser Richtlinie die entsprechenden Berechtigungen hinzu.
In der vorgenannten Richtlinie nehmen Sie folgende Zuweisungen vor:
+ Weisen Sie S3-Berechtigungen den Objekten zu, die Sie unter `PrimaryContainer.ModelDataUrl` in einer [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)-Anforderung angeben.
+ Erweitern Sie Amazon ECR-Berechtigungen auf einen bestimmten Registry-Pfad, den Sie als `PrimaryContainer.Image` und `SecondaryContainer.Image` in einer `CreateModel` Anfrage angeben.
Die Aktionen `cloudwatch` und `logs` gelten für die Ressourcen "\$1". Weitere Informationen finden Sie unter [CloudWatch Ressourcen und Betrieb](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) im CloudWatch Amazon-Benutzerhandbuch.
**Anmerkung**
Wenn Sie planen, die [SageMaker AI-Bereitstellungs-Guardrails-Funktion](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) für die Modellbereitstellung in der Produktion zu verwenden, stellen Sie sicher, dass Ihre Ausführungsrolle berechtigt ist, die `cloudwatch:DescribeAlarms` Aktion für Ihre automatischen Rollback-Alarme auszuführen.
Wenn Sie eine private VPC für das Modell angeben, fügen Sie die folgenden Berechtigungen hinzu:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
# SageMaker Funktionen und Rollen im Zusammenhang mit räumlichen Daten
Als verwalteter Service führt Amazon SageMaker Geospatial Capabilities in Ihrem Namen Operationen auf der AWS Hardware durch, die von SageMaker KI verwaltet wird. Wird verwendet, AWS Identity and Access Management um Benutzern, Gruppen und Rollen Zugriff auf SageMaker Geodaten zu gewähren.
Ein IAM-Administrator kann diese Berechtigungen Benutzern, Gruppen oder Rollen mithilfe von AWS-Managementkonsole AWS CLI, oder einer der folgenden Optionen gewähren. AWS SDKs
**Um SageMaker Geospatial verwenden zu können, benötigen Sie die folgenden IAM-Berechtigungen.**
1. **Eine SageMaker AI-Ausführungsrolle.**
Um die SageMaker geospatialspezifischen API-Operationen verwenden zu können, muss Ihre SageMaker KI-Ausführungsrolle `sagemaker-geospatial.amazonaws.com` in der Vertrauensrichtlinie der Ausführungsrolle den SageMaker Geospatial Service Principal enthalten. Auf diese Weise kann die SageMaker KI-Ausführungsrolle in Ihrem Namen Aktionen in AWS-Konto Ihrem Namen ausführen.
1. **Ein Benutzer, eine Gruppe oder eine Rolle, die Zugriff auf Amazon SageMaker Studio Classic und SageMaker Geospatial hat**
Um mit SageMaker Geospatial zu beginnen, können Sie die AWS verwaltete Richtlinie verwenden:. `AmazonSageMakerGeospatialFullAccess` Diese Gewährung gewährt einem Benutzer, einer Gruppe oder einer Rolle vollen Zugriff auf SageMaker Geospatial. Die Richtlinie und weitere Informationen darüber, welche Aktionen, Ressourcen und Bedingungen verfügbar sind, finden Sie unter [AWS verwaltete Richtlinie: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Informationen zu den ersten Schritten mit Studio Classic und dem Erstellen einer Amazon SageMaker AI-Domain finden Sie unter[Überblick über die Amazon SageMaker AI-Domain](gs-studio-onboard.md).
Verwenden Sie die folgenden Themen, um eine neue SageMaker KI-Ausführungsrolle zu erstellen, eine bestehende SageMaker KI-Ausführungsrolle zu aktualisieren und zu erfahren, wie Sie Berechtigungen mithilfe von SageMaker geospatialspezifischen IAM-Aktionen, -Ressourcen und -Bedingungen verwalten.
**Topics**
+ [Eine neue SageMaker KI-Ausführungsrolle erstellen](sagemaker-geospatial-roles-create-execution-role.md)
+ [Den SageMaker Geospatial Service Principal zu einer bestehenden SageMaker AI-Ausführungsrolle hinzufügen](sagemaker-geospatial-roles-pass-role.md)
+ [`StartEarthObservationJob` API: Berechtigungen für die Ausführungsrolle](sagemaker-roles-start-eoj-perms.md)
+ [`StartVectorEnrichmentJob` API: Berechtigungen für die Ausführungsrolle](sagemaker-roles-start-vej-perms.md)
+ [`ExportEarthObservationJob` API: Berechtigungen für die Ausführungsrolle](sagemaker-roles-export-eoj-perms.md)
+ [`ExportVectorEnrichmentJob` API: Berechtigungen für die Ausführungsrolle](sagemaker-roles-export-vej-perms.md)
# Eine neue SageMaker KI-Ausführungsrolle erstellen
Um mit SageMaker Geodatenfunktionen arbeiten zu können, müssen Sie einen Benutzer, eine Gruppe oder Rolle sowie eine Ausführungsrolle einrichten. Eine Benutzerrolle ist eine AWS Identität mit Berechtigungsrichtlinien, die festlegen, was der Benutzer innerhalb AWS dieser Rechte tun kann und welche nicht. Eine Ausführungsrolle ist eine IAM-Rolle, die dem Dienst die Berechtigung zum Zugriff auf Ihre AWS Ressourcen erteilt. Eine Ausführungsrolle besteht aus Berechtigungen und Vertrauensrichtlinien. Die Vertrauensrichtlinie gibt an, welche Prinzipale die Berechtigung haben, die Rolle zu übernehmen.
SageMaker Geospatial erfordert auch einen anderen Dienstprinzipal,`sagemaker-geospatial.amazonaws.com`. Wenn Sie bereits SageMaker KI-Kunde sind, müssen Sie diesen zusätzlichen Service Principal zu Ihrer Vertrauensrichtlinie hinzufügen.
Gehen Sie wie folgt vor, um eine neue Ausführungsrolle zu erstellen, an die die von IAM verwaltete Richtlinie `AmazonSageMakerGeospatialFullAccess` angehängt ist. Wenn Ihr Anwendungsfall detailliertere Berechtigungen erfordert, verwenden Sie andere Abschnitte dieses Handbuchs, um eine Ausführungsrolle zu erstellen, die Ihren Geschäftsanforderungen entspricht.
**Wichtig**
Die im folgenden Verfahren verwendete IAM-verwaltete Richtlinie, `AmazonSageMakerGeospatialFullAccess`, gewährt der Ausführungsrolle nur die Berechtigung, bestimmte Amazon S3-Aktionen für Buckets oder Objekte mit `SageMaker`, `Sagemaker`, `sagemaker` oder `aws-glue` im Namen auszuführen. Informationen zum Aktualisieren der Richtlinie der Ausführungsrolle, um ihr Zugriff auf andere Amazon-S3-Buckets und -Objekte zu gewähren, finden Sie unter [Zusätzliche Amazon S3 S3-Berechtigungen zu einer SageMaker KI-Ausführungsrolle hinzufügen](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**So erstellen Sie eine neue Rolle**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie **Rollen** und dann **Rolle erstellen**.
1. Wählen Sie **SageMaker**.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Die von IAM verwaltete Richtlinie, `AmazonSageMakerGeospatialFullAccess`, wird automatisch an diese Rolle angehängt. Wählen Sie zum Anzeigen der in dieser Richtlinie enthaltenen Berechtigungen den Seitspfeil neben dem Richtliniennamen aus. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie Stichwörter hinzu und wählen Sie **Weiter: Überprüfen** aus.
1. Geben Sie der Rolle im Textfeld unter **Rollenname** einen Namen und wählen Sie **Rolle erstellen** aus.
1. Wählen Sie im Abschnitt **Rollen** der IAM-Konsole die Rolle aus, die Sie gerade in Schritt 7 erstellt haben. Verwenden Sie bei Bedarf das Textfeld, um anhand des Rollennamens, den Sie in Schritt 7 eingegeben haben, nach der Rolle zu suchen.
1. Notieren Sie sich auf der Seite mit der Rollenübersicht den ARN.
# Den SageMaker Geospatial Service Principal zu einer bestehenden SageMaker AI-Ausführungsrolle hinzufügen
Um die SageMaker geospatialspezifischen API-Operationen verwenden zu können, muss Ihre SageMaker KI-Ausführungsrolle `sagemaker-geospatial.amazonaws.com` in der SageMaker Vertrauensrichtlinie der Ausführungsrolle den Geospatial-Dienstprinzipal enthalten. Auf diese Weise kann die SageMaker KI-Ausführungsrolle in Ihrem Namen Aktionen in AWS-Konto Ihrem Namen ausführen.
Aktionen wie die Übertragung einer Rolle zwischen Diensten sind in der SageMaker KI üblich. Weitere Details,
Um den SageMaker Geospatial Service Principal zu einer bestehenden SageMaker AI-Ausführungsrolle hinzuzufügen, aktualisieren Sie die bestehende Richtlinie so, dass sie den SageMaker Geospatial Service Principal einbezieht, wie in der folgenden Vertrauensrichtlinie dargestellt. Indem Sie der Vertrauensrichtlinie den Dienstprinzipal zuordnen, kann eine SageMaker KI-Ausführungsrolle nun die SageMaker Geospatial-spezifischen APIs Daten in Ihrem Namen ausführen.
*Weitere Informationen zu SageMaker raumbezogenen IAM-Aktionen, -Ressourcen und -Bedingungen finden Sie im IAM-Benutzerhandbuch unter [Aktionen, Ressourcen und Bedingungsschlüssel für SageMaker KI](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# `StartEarthObservationJob` API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `StartEarthObservationJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Wenn Ihr Amazon S3 S3-Eingabe-Bucket mit serverseitiger Verschlüsselung mit einem AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, finden Sie weitere Informationen unter [Amazon S3 S3-Bucket Keys verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `StartVectorEnrichmentJob` API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `StartVectorEnrichmentJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Wenn Ihr Amazon S3 S3-Eingabe-Bucket mit serverseitiger Verschlüsselung mit einem AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, finden Sie weitere Informationen unter [Amazon S3 S3-Bucket Keys verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `ExportEarthObservationJob` API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `ExportEarthObservationJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Wenn Ihr Amazon S3 S3-Eingabe-Bucket mit serverseitiger Verschlüsselung mit einem AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, finden Sie weitere Informationen unter [Amazon S3 S3-Bucket Keys verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# `ExportVectorEnrichmentJob` API: Berechtigungen für die Ausführungsrolle
Bei einer Ausführungsrolle, die Sie in einer `ExportVectorEnrichmentJob`-API-Anforderung übergeben, können Sie der Rolle folgende Berechtigungsrichtlinie zuweisen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Wenn Ihr Amazon S3 S3-Eingabe-Bucket mit serverseitiger Verschlüsselung mit einem AWS KMS verwalteten Schlüssel (SSE-KMS) verschlüsselt ist, finden Sie weitere Informationen unter [Amazon S3 S3-Bucket-Schlüssel verwenden](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# Amazon SageMaker Rollenmanager
Administratoren für maschinelles Lernen (ML), die mit Amazon SageMaker AI Berechtigungen mit den geringsten Rechten anstreben, müssen eine Vielzahl von Branchenperspektiven berücksichtigen, einschließlich der einzigartigen Anforderungen an den Zugriff mit den geringsten Rechten, die für Personas wie Datenwissenschaftler, Machine-Learning-Operations () -Ingenieure und mehr erforderlich sind. MLOps Verwenden Sie Amazon SageMaker Role Manager, um personabasierte IAM-Rollen für allgemeine maschinelle Lernanforderungen direkt über die Amazon SageMaker AI-Konsole zu erstellen und zu verwalten.
Amazon SageMaker Role Manager bietet 3 vorkonfigurierte Rollenpersonas und vordefinierte Berechtigungen für allgemeine ML-Aktivitäten. Erkunden Sie die bereitgestellten Personas und ihre vorgeschlagenen Richtlinien oder erstellen und verwalten Sie Rollen für Personas, die auf Ihre Geschäftsanforderungen zugeschnitten sind. Wenn Sie zusätzliche Anpassungen benötigen, geben Sie Netzwerk- und Verschlüsselungsberechtigungen für [Amazon Virtual Private Cloud Cloud-Ressourcen](https://aws.amazon.com/vpc/) und [AWS Key Management Service](https://aws.amazon.com/kms/)Verschlüsselungsschlüssel im [Schritt 1. Geben Sie Rolleninformationen ein](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) Amazon SageMaker Role Manager an.
**Topics**
+ [Verwenden Sie den Rollenmanager (Konsole)](role-manager-tutorial.md)
+ [Verwenden Sie den Rollenmanager (AWS CDK)](role-manager-tutorial-cdk.md)
+ [Persönliche Referenz](role-manager-personas.md)
+ [Referenz zur ML-Aktivität](role-manager-ml-activities.md)
+ [Starten von Studio Classic](role-manager-launch-notebook.md)
+ [Rollenmanager FAQs](role-manager-faqs.md)
# Verwenden Sie den Rollenmanager (Konsole)
Sie können den Amazon SageMaker Role Manager von den folgenden Stellen in der linken Navigationsleiste der Amazon SageMaker AI-Konsole aus verwenden:
+ **Erste Schritte** – Fügen Sie schnell Berechtigungsrichtlinien für Ihre Benutzer hinzu.
+ **Domains** — Fügen Sie Berechtigungsrichtlinien für Benutzer innerhalb einer Amazon SageMaker AI-Domain hinzu.
+ **Notebooks** – Fügen Sie Benutzern, die Notebooks erstellen und ausführen, die geringsten Berechtigungen hinzu.
+ **Training** – Fügen Sie Benutzern, die Trainingsaufträge erstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.
+ **Inferenz** – Fügen Sie Benutzern, die Inferenzmodelle bereitstellen und verwalten, die geringste Anzahl von Berechtigungen hinzu.
Sie können die folgenden Verfahren verwenden, um den Prozess der Erstellung einer Rolle von verschiedenen Stellen in der SageMaker AI-Konsole aus zu starten.
## Erste Schritte
Wenn Sie SageMaker KI zum ersten Mal verwenden, empfehlen wir, im Abschnitt **Erste Schritte** eine Rolle zu erstellen.
Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.
1. Öffnen Sie die Amazon SageMaker AI-Konsole.
1. Wählen Sie im linken Navigationsbereich die Option **Admin Konfigurationen** aus.
1. Wählen Sie unter **Admin Konfigurationen** die Option **Rollenmanager** aus.
1. Wählen Sie **Rolle erstellen** aus.
## domains
Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung einer Amazon SageMaker AI-Domain beginnen.
Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.
1. Öffnen Sie die Amazon SageMaker AI-Konsole.
1. Wählen Sie im linken Navigationsbereich **Admin-Konfigurationen**.
1. Wählen Sie unter **Admin-Konfigurationen** **Domains** aus.
1. Wählen Sie **Domain erstellen** aus.
1. Wählen Sie **Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung**.
## Notebook
Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung eines Notizbuchs beginnen.
Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.
1. Öffnen Sie die Amazon SageMaker AI-Konsole.
1. Wählen Sie im linken Navigationsbereich die Option **Notebook** aus.
1. Wählen Sie **Notebook instances (Notebook-Instances)** aus.
1. Wählen Sie **Create notebook instance (Notebook-Instance erstellen)** aus.
1. Wählen Sie **Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung**.
## Training
Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Erstellung eines Schulungsjobs beginnen.
Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.
1. Öffnen Sie die Amazon SageMaker AI-Konsole.
1. Wählen Sie im linken Navigationsbereich die Option **Training** aus.
1. Wählen Sie **Trainingsaufträge** aus.
1. Wählen Sie **Create training job (Trainingsauftrag erstellen)** aus.
1. Wählen Sie **Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung**.
## Inferenz
Sie können mit Amazon Role Manager eine SageMaker Rolle erstellen, wenn Sie mit der Bereitstellung eines Inferenzmodells beginnen.
Gehen Sie wie folgt vor, um eine SageMaker Rolle mit Amazon Role Manager zu erstellen.
1. Öffnen Sie die Amazon SageMaker AI-Konsole.
1. Wählen Sie im linken Navigationsbereich die Option **Inferenz** aus.
1. Wählen Sie **Modelle** aus.
1. Wählen Sie **Modell erstellen** aus.
1. Wählen Sie **Rolle erstellen mit Hilfe des Assistenten zur Rollenerstellung**.
Nachdem Sie eines der vorherigen Verfahren abgeschlossen haben, können Sie die Informationen in den folgenden Abschnitten verwenden, um die Rolle zu erstellen.
## Voraussetzungen
Um Amazon SageMaker Role Manager verwenden zu können, benötigen Sie die Berechtigung, eine IAM-Rolle zu erstellen. Diese Berechtigung steht in der Regel ML-Administratoren und Rollen mit den geringsten Rechten für ML-Praktiker zur Verfügung.
Sie können vorübergehend eine IAM-Rolle in der übernehmen, AWS-Managementkonsole indem Sie die Rollen [wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter [Verwenden von IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) im *IAM-Benutzerhandbuch*.
## Schritt 1. Geben Sie Rolleninformationen ein
Geben Sie einen Namen an, der als eindeutiges Suffix für Ihre neue SageMaker KI-Rolle verwendet werden soll. Standardmäßig wird das Präfix `"sagemaker-"` jedem Rollennamen hinzugefügt, um die Suche in der IAM-Konsole zu vereinfachen. Wenn Sie Ihre Rolle beispielsweise `test-123` bei der Rollenerstellung benennen, wird Ihre Rolle wie `sagemaker-test-123` in der IAM-Konsole angezeigt. Optional können Sie auch eine Beschreibung Ihrer Rolle hinzufügen, um zusätzliche Informationen bereitzustellen.
Wählen Sie dann eine der verfügbaren Personas aus, um vorgeschlagene Berechtigungen für Personas wie Datenwissenschaftler, Dateningenieure oder Techniker für maschinelles Lernen () MLOps zu erhalten. Informationen zu verfügbaren Personas und ihren empfohlenen Berechtigungen finden Sie unter [Persönliche Referenz](role-manager-personas.md). Wählen Sie **Benutzerdefinierte Rolleneinstellungen**, um eine Rolle zu erstellen, ohne dass Ihnen vorgeschlagene Berechtigungen als Leitfaden dienen.
**Anmerkung**
Wir empfehlen, dass Sie zunächst den Rollenmanager verwenden, um eine SageMaker KI-Rechenrolle zu erstellen, damit SageMaker KI-Rechenressourcen Aufgaben wie Training und Inferenz ausführen können. Verwenden Sie die SageMaker KI Compute Role-Persona, um diese Rolle mit dem Rollenmanager zu erstellen. Notieren Sie sich nach dem Erstellen einer SageMaker KI-Rechenrolle deren ARN für die future Verwendung.
### Netzwerk- und Verschlüsselungsbedingungen
Wir empfehlen Ihnen, die VPC-Anpassung zu aktivieren, um VPC-Konfigurationen, Subnetze und Sicherheitsgruppen mit IAM-Richtlinien zu verwenden, die Ihrer neuen Rolle zugeordnet sind. Wenn die VPC-Anpassung aktiviert ist, werden die IAM-Richtlinien für ML-Aktivitäten, die mit VPC-Ressourcen interagieren, auf den Zugriff mit den geringsten Rechten beschränkt. Die VPC-Anpassung ist standardmäßig nicht aktiviert. Weitere Informationen zur empfohlenen Netzwerkarchitektur finden Sie im *AWS technischen Leitfaden* unter [Netzwerkarchitektur](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/networking-architecture.html).
Sie können einen KMS-Schlüssel auch zum Verschlüsseln, Entschlüsseln und erneuten Verschlüsseln von Daten für regulierte Workloads mit hochsensiblen Daten verwenden. Wenn die AWS KMS Anpassung aktiviert ist, werden die IAM-Richtlinien für ML-Aktivitäten, die benutzerdefinierte Verschlüsselungsschlüssel unterstützen, auf den Zugriff mit den geringsten Rechten beschränkt. Weitere Informationen finden Sie unter [Verschlüsselung mit AWS KMS](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/encryption-with-kms.html) im *AWS technischen Leitfaden*.
## Schritt 2. Konfigurieren von ML-Aktivitäten
Jede ML-Aktivität von Amazon SageMaker Role Manager enthält empfohlene IAM-Berechtigungen, um Zugriff auf relevante AWS Ressourcen zu gewähren. Bei einigen ML-Aktivitäten müssen Sie eine Servicerolle hinzufügen ARNs , um die Einrichtung abzuschließen. Informationen zu vordefinierten ML-Aktivitäten und ihren Berechtigungen finden Sie unter [Referenz zur ML-Aktivität](role-manager-ml-activities.md). Weitere Informationen zum Hinzufügen von Servicerollen finden Sie unter [Servicerollen](#role-manager-tutorial-configure-ml-activities-service-roles).
Basierend auf der ausgewählten Persona sind bestimmte ML-Aktivitäten bereits ausgewählt. Sie können alle vorgeschlagenen ML-Aktivitäten abwählen oder zusätzliche Aktivitäten auswählen, um Ihre eigene Rolle zu erstellen. Wenn Sie die Persona Benutzerdefinierte Rolleneinstellungen ausgewählt haben, sind in diesem Schritt keine ML-Aktivitäten vorausgewählt.
Sie können Ihrer Rolle in weitere AWS oder vom Kunden verwaltete IAM-Richtlinien hinzufügen. [Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu](#role-manager-tutorial-add-policies-and-tags)
### Servicerollen
Für einige AWS Dienste ist eine Servicerolle erforderlich, um Aktionen in Ihrem Namen ausführen zu können. Wenn die von Ihnen ausgewählte ML-Aktivität erfordert, dass Sie eine Servicerolle übergeben, müssen Sie den ARN für diese Servicerolle angeben.
Sie können entweder eine neue Servicerolle erstellen oder eine vorhandene verwenden, z. B. eine Servicerolle, die mit der SageMaker AI Compute Role-Persona erstellt wurde. Sie finden den ARN einer vorhandenen Rolle, indem Sie den Rollennamen im Abschnitt Rollen der [IAM-Konsole](https://console.aws.amazon.com/iamv2/) auswählen. Weitere Informationen zu Servicerollen finden Sie unter [Eine Rolle für einen AWS Dienst erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
## Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu
Sie können Ihrer neuen Rolle alle vorhandenen AWS oder vom Kunden verwalteten IAM-Richtlinien hinzufügen. Informationen zu bestehenden SageMaker KI-Richtlinien finden Sie unter [AWS Verwaltete Richtlinien für Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html). Sie können Ihre bestehenden Richtlinien auch im Bereich **Rollen** der [IAM-Konsole](https://console.aws.amazon.com/iamv2/) überprüfen.
Verwenden Sie optional Tag-basierte Richtlinienbedingungen, um Metadateninformationen zuzuweisen, um Ressourcen zu kategorisieren und zu verwalten AWS . Jedes Tag wird durch ein Schlüssel-Wert-Paar repräsentiert. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf AWS Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
## Rolle überprüfen
Nehmen Sie sich Zeit, um alle Informationen zu Ihrer neuen Rolle zu überprüfen. Wählen Sie **Zurück**, um zurückzugehen und die Informationen zu bearbeiten. Wenn Sie bereit sind, Ihre Rolle zu erstellen, wählen Sie **Rolle erstellen**. Dadurch wird eine Rolle mit Berechtigungen für Ihre ausgewählten ML-Aktivitäten generiert. Sie können Ihre neue Rolle im Bereich **Rollen** der [IAM-Konsole](https://console.aws.amazon.com/iamv2/) einsehen.
# Verwenden Sie den Rollenmanager (AWS CDK)
Verwenden Sie den AWS Cloud Development Kit (AWS CDK) zusammen mit Amazon SageMaker Role Manager, um programmgesteuert Rollen zu erstellen und Berechtigungen festzulegen. Sie können den verwenden AWS CDK , um jede Aufgabe zu erledigen, die Sie mit dem ausführen könnten. AWS-Managementkonsole Der programmatische Zugriff des CDK erleichtert die Bereitstellung von Berechtigungen, mit denen Ihre Benutzer auf bestimmte Ressourcen zugreifen können. Weitere Informationen zu dem AWS CDK finden Sie unter [Was ist AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html)
**Wichtig**
Sie müssen die SageMaker KI Compute Role Persona verwenden, um eine SageMaker AI Compute Role zu erstellen. Weitere Informationen über die Compute Persona finden Sie unter [SageMaker KI, Computer, Persona](role-manager-personas.md#role-manager-personas-compute). Code, mit dem Sie die Rechenrolle innerhalb von erstellen können AWS CDK, finden Sie unter[Erteilen Sie einer Compute-Persona Berechtigungen](#role-manager-cdk-compute-persona).
Im Folgenden finden Sie Beispiele für Aufgaben, die Sie in der AWS CDK ausführen können:
+ Erstellen Sie IAM-Rollen mit detaillierten Berechtigungen für maschinelles Lernen (ML) -Personas wie Datenwissenschaftler und Ingenieure. MLOps
+ Erteilen Sie Berechtigungen für CDK-Konstrukte aus ML-Personas oder ML-Aktivitäten.
+ Legen Sie die Parameter für die Bedingungen der ML-Aktivität fest.
+ Aktivieren Sie globale Amazon VPC und AWS Key Management Service Bedingungen und legen Sie Werte für sie fest.
+ Wählen Sie aus allen Versionen der ML-Aktivitäten für Ihre Benutzer, ohne dass deren Zugriff unterbrochen wird.
Es gibt allgemeine AWS Aufgaben im Zusammenhang mit maschinellem Lernen (ML) mit SageMaker KI, für die spezielle IAM-Berechtigungen erforderlich sind. Die Berechtigungen zur Ausführung der Aufgaben sind in Amazon SageMaker Role Manager als ML-Aktivitäten definiert. ML-Aktivitäten spezifizieren eine Reihe von Berechtigungen, die mit der IAM-Rolle verknüpft sind. Beispielsweise verfügt die ML-Aktivität für Amazon SageMaker Studio Classic über alle Berechtigungen, die ein Benutzer für den Zugriff auf Studio Classic benötigt. Weitere Informationen über ML-Aktivitäten finden Sie unter [Referenz zur ML-Aktivität](role-manager-ml-activities.md).
Wenn Sie Rollen erstellen, definieren Sie zunächst die Konstrukte für die ML-Persona oder die ML-Aktivität. Ein Konstrukt ist eine Ressource innerhalb des AWS CDK Stacks. Ein Konstrukt könnte beispielsweise ein Amazon-S3-Bucket, ein Amazon VPC-Subnetz oder eine IAM-Rolle sein.
Während Sie die Persona oder Aktivität erstellen, können Sie die mit dieser Persona oder Aktivität verknüpften Berechtigungen auf bestimmte Ressourcen beschränken. Sie können die Aktivität beispielsweise so anpassen, dass sie nur Berechtigungen für ein bestimmtes Subnetz innerhalb einer Amazon VPC gewährt.
Nachdem Sie Berechtigungen definiert haben, können Sie Rollen erstellen und diese Rollen dann übergeben, um andere Ressourcen zu erstellen, z. B. SageMaker Notebook-Instanzen.
Im Folgenden finden Sie Codebeispiele in Typescript für Aufgaben, die Sie mit dem CDK erledigen können. Wenn Sie eine Aktivität erstellen, geben Sie eine ID und die Optionen für das Konstrukt der Aktivität an. Bei den Optionen handelt es sich um Wörterbücher, die die erforderlichen Parameter für die Aktivitäten angeben, z. B. ein Amazon S3. Sie übergeben ein leeres Wörterbuch für Aktivitäten, für die keine erforderlichen Parameter erforderlich sind.
## Erteilen Sie einer Compute-Persona Berechtigungen
Der folgende Code erstellt eine Data Scientist ML-Persona mit einer Reihe von ML-Aktivitäten, die für die Persona spezifisch sind. Die Berechtigungen aus ML-Aktivitäten gelten nur für die Amazon VPC und die im Persona-Konstrukt angegebenen AWS KMS Konfigurationen. Der folgende Code erstellt eine Klasse für eine Data Scientist-Persona. Die ML-Aktivitäten sind in der Aktivitätenliste definiert. Die VPC-Berechtigungen und die KMS-Berechtigungen sind als optionale Parameter außerhalb der Aktivitätsliste definiert.
Nachdem Sie die Klasse definiert haben, können Sie eine Rolle als Konstrukt innerhalb des AWS CDK Stacks erstellen. Sie können auch eine Notebook-Instance erstellen. Die Person, die die IAM-Rolle verwendet, die Sie im folgenden Code erstellt haben, kann auf die Notebook-Instanz zugreifen, wenn sie sich bei ihrem AWS Konto anmeldet.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.accessAwsServices(this, 'example-id1', {})
]
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Erteilen Sie einer Data Scientist-Persona Berechtigungen
Der folgende Code erstellt eine Data Scientist ML-Persona mit einer Reihe von ML-Aktivitäten, die für die Persona spezifisch sind. Die Berechtigungen von ML-Aktivitäten gelten nur für die im Persona-Konstrukt angegebenen VPC- und KMS-Konfigurationen. Der folgende Code erstellt eine Klasse für eine Data Scientist-Persona. Die ML-Aktivitäten sind in der Aktivitätenliste definiert. Die Amazon VPC-Berechtigungen und die AWS KMS Berechtigungen sind als optionale Parameter außerhalb der Aktivitätsliste definiert.
Nachdem Sie die Klasse definiert haben, können Sie eine Rolle als Konstrukt innerhalb des AWS CDK Stacks erstellen. Sie können auch eine Notebook-Instance erstellen. Die Person, die die IAM-Rolle verwendet, die Sie im folgenden Code erstellt haben, kann auf die Notebook-Instanz zugreifen, wenn sie sich bei ihrem AWS Konto anmeldet.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageJobs(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageModels(this, 'example-id3', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageExperiments(this, 'example-id4', {}),
Activity.visualizeExperiments(this, 'example-id5', {}),
Activity.accessS3Buckets(this, 'example-id6', {s3buckets: [s3.S3Bucket.fromBucketName('amzn-s3-demo-bucket')]})
],
// optional: to configure VPC permissions
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
// optional: to configure KMS permissions
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
const notebookInstance = new CfnNotebookInstance(this, 'example-notebook-instance-name', { RoleArn: role.RoleArn, ...});
}
}
```
## Erteilen Sie einer ML Ops-Persona Berechtigungen
Der folgende Code erstellt eine ML Ops-Persona mit einer Reihe von ML-Aktivitäten, die für die Persona spezifisch sind. Die Berechtigungen aus ML-Aktivitäten gelten nur für die Amazon VPC und die im Persona-Konstrukt angegebenen AWS KMS Konfigurationen. Der folgende Code erstellt eine Klasse für eine ML Ops-Persona. Die ML-Aktivitäten sind in der Aktivitätenliste definiert. Die VPC-Berechtigungen und die KMS-Berechtigungen sind als optionale Parameter außerhalb der Aktivitätsliste definiert.
Nachdem Sie die Klasse definiert haben, können Sie eine Rolle als Konstrukt innerhalb des AWS CDK Stacks erstellen. Sie können auch ein Amazon SageMaker Studio Classic-Benutzerprofil erstellen. Die Person, die die IAM-Rolle verwendet, die Sie im folgenden Code erstellt haben, kann SageMaker Studio Classic öffnen, wenn sie sich bei ihrem AWS Konto anmeldet.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
let userProfile = new CfnNUserProfile(this, 'example-Studio Classic-profile-name', { RoleName: role.RoleName, ... });
}
}
```
## Erteilen Sie Berechtigungen für ein Konstrukt
Der folgende Code erstellt eine ML Ops-Persona mit einer Reihe von ML-Aktivitäten, die für die Persona spezifisch sind. Der folgende Code erstellt eine Klasse für eine ML Ops-Persona. Die ML-Aktivitäten sind in der Aktivitätenliste definiert.
Nachdem Sie die Klasse definiert haben, können Sie eine Rolle als Konstrukt innerhalb des AWS CDK Stacks erstellen. Sie können auch eine Notebook-Instance erstellen. Der Code gewährt der IAM-Rolle der Lambda-Funktion Berechtigungen aus den ML-Aktivitäten.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
});
const lambdaFn = lambda.Function.fromFunctionName('example-lambda-function-name');
persona.grantPermissionsTo(lambdaFn);
}
}
```
## Erteilen Sie Berechtigungen für eine einzelne ML-Aktivität
Der folgende Code erstellt eine ML-Aktivität und erstellt aus der Aktivität eine Rolle. Die Berechtigungen aus der Aktivität gelten nur für die VPC- und KMS-Konfiguration, die Sie für den Benutzer angeben.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = activity.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Erstellen Sie eine Rolle und erteilen Sie ihr Berechtigungen für eine einzelne Aktivität
Der folgende Code erstellt eine IAM-Rolle für eine einzelne ML-Aktivität.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
});
activity.create_role(this, 'example-IAM-role-id', 'example-IAM-role-name')
}
}
```
# Persönliche Referenz
Amazon SageMaker Role Manager bietet empfohlene Berechtigungen für eine Reihe von ML-Personas. Dazu gehören Rollen zur Benutzerausführung für allgemeine Aufgaben von ML-Praktikern sowie Rollen zur Serviceausführung für allgemeine AWS Serviceinteraktionen, die für die Arbeit mit SageMaker KI erforderlich sind.
Für jede Persona wurden Berechtigungen in Form von ausgewählten ML-Aktivitäten vorgeschlagen. Informationen zu vordefinierten ML-Aktivitäten und ihren Berechtigungen finden Sie unter [Referenz zur ML-Aktivität](role-manager-ml-activities.md).
## Persona für Data Scientist
Verwenden Sie diese Persona, um Berechtigungen für allgemeine Entwicklungen und Experimente mit maschinellem Lernen in einer SageMaker KI-Umgebung zu konfigurieren. Diese Persona umfasst die folgenden vorausgewählten ML-Aktivitäten:
+ Ausführen von Studio Classic-Anwendungen
+ ML-Jobs verwalten
+ Modelle verwalten
+ Tabellen verwalten AWS Glue
+ Canvas AI-Dienste
+ Leinwand MLOps
+ Leinwand Kendra Access
+ Benutzen MLflow
+ Zugriff auf AWS Dienste erforderlich für MLflow
+ Serverlose Studio EMR-Anwendungen ausführen
## MLOps Persona
Wählen Sie diese Persona, um Berechtigungen für betriebliche Aktivitäten zu konfigurieren. Diese Persona umfasst die folgenden vorausgewählten ML-Aktivitäten:
+ Ausführen von Studio Classic-Anwendungen
+ Modelle verwalten
+ Pipelines verwalten
+ Suchen und visualisieren Sie Experimente
+ Vollzugriff auf Amazon S3
## SageMaker KI, Computer, Persona
**Anmerkung**
Wir empfehlen, dass Sie zunächst den Rollenmanager verwenden, um eine SageMaker KI-Rechenrolle zu erstellen, damit SageMaker KI-Rechenressourcen Aufgaben wie Training und Inferenz ausführen können. Verwenden Sie die SageMaker KI Compute Role-Persona, um diese Rolle mit dem Rollenmanager zu erstellen. Notieren Sie sich nach dem Erstellen einer SageMaker KI-Rechenrolle deren ARN für die future Verwendung.
Diese Persona umfasst die folgende vorgewählte ML-Aktivität:
+ Greifen Sie auf erforderliche AWS Dienste zu
# Referenz zur ML-Aktivität
ML-Aktivitäten sind allgemeine AWS Aufgaben im Zusammenhang mit maschinellem Lernen mit SageMaker KI, für die bestimmte IAM-Berechtigungen erforderlich sind. Jede [Persona](https://docs.aws.amazon.com/sagemaker/latest/dg/role-manager-personas.html) schlägt verwandte ML-Aktivitäten vor, wenn sie eine Rolle mit Amazon SageMaker Role Manager erstellen. Sie können alle zusätzlichen ML-Aktivitäten auswählen oder alle vorgeschlagenen ML-Aktivitäten abwählen, um eine Rolle zu erstellen, die Ihren individuellen Geschäftsanforderungen entspricht.
Amazon SageMaker Role Manager bietet vordefinierte Berechtigungen für die folgenden ML-Aktivitäten:
****
| **ML-Aktivität** | **Beschreibung** |
| --- | --- |
| Greifen Sie auf erforderliche AWS Dienste zu | Berechtigungen für den Zugriff auf Amazon S3, Amazon ECR CloudWatch, Amazon und Amazon EC2. Erforderlich für Ausführungsrollen für Aufträge und Endpunkte. |
| Ausführen von Studio Classic-Anwendungen | Berechtigungen für den Betrieb in einer Studio-Classic-Umgebung. Erforderlich für Rollen zur Ausführung von Domains und Benutzerprofilen. |
| ML-Jobs verwalten | Berechtigungen zur Prüfung, Abfrage der Herkunft und Visualisierung von Experimenten. |
| Modelle verwalten | Berechtigungen zur Verwaltung von SageMaker KI-Jobs während ihres gesamten Lebenszyklus. |
| Pipelines verwalten | Berechtigungen zur Verwaltung von SageMaker Pipelines und Pipeline-Ausführungen. |
| Suchen und visualisieren Sie Experimente | Berechtigungen zur Prüfung, Abfrage der Herkunft und Visualisierung SageMaker von KI-Experimenten. |
| Verwalten der Modellüberwachung | Berechtigungen zur Verwaltung von Überwachungsplänen für SageMaker AI Model Monitor. |
| Vollzugriff auf Amazon S3 | Berechtigungen zur Ausführung aller Amazon S3-Vorgänge. |
| Amazon-S3-Bucket-Zugriff | Berechtigungen zur Ausführung von Vorgängen an bestimmten Amazon-S3-Buckets. |
| Abfragen Athena-Arbeitsgruppen | Berechtigungen zum Ausführen und Verwalten von Amazon Athena-Abfragen. |
| AWS Glue Tabellen verwalten | Berechtigungen zum Erstellen und Verwalten von AWS Glue Tabellen für SageMaker AI Feature Store und Data Wrangler. |
| SageMaker Zugriff auf Canvas Core | Berechtigungen zur Durchführung von Experimenten in SageMaker Canvas (d. h. Vorbereitung grundlegender Daten, Modellerstellung, Validierung). |
| SageMaker Canvas-Datenvorbereitung (unterstützt von Data Wrangler) | Berechtigungen zur end-to-end Datenaufbereitung in SageMaker Canvas (d. h. Aggregieren, Transformieren und Analysieren von Daten, Erstellen und Planen von Datenvorbereitungsaufträgen für große Datensätze). |
| SageMaker KI-Dienste von Canvas | Berechtigungen für den Zugriff auf ready-to-use Modelle von Amazon Bedrock, Amazon Textract, Amazon Rekognition und Amazon Comprehend. Darüber hinaus kann der Benutzer die Fundamentmodelle von Amazon Bedrock und Amazon optimieren. SageMaker JumpStart |
| SageMaker Canvas (Zeichenbereich) MLOps | Erlaubnis für SageMaker Canvas-Benutzer, das Modell direkt auf dem Endpunkt bereitzustellen. |
| SageMaker Leinwand Kendra Access | Erlaubnis für SageMaker Canvas, auf Amazon Kendra für die Suche nach Unternehmensdokumenten zuzugreifen. Die Erlaubnis wird nur für Ihre ausgewählten Indexnamen in Amazon Kendra erteilt. |
| Benutzen MLflow | Berechtigungen zum Verwalten von Experimenten, Durchläufen und Modellen in MLflow. |
| MLflow Tracking-Server verwalten | Berechtigungen zum Verwalten, Starten und Beenden von MLflow Tracking-Servern. |
| Zugriff auf AWS Dienste erforderlich für MLflow | Berechtigungen für MLflow Tracking-Server für den Zugriff auf S3, Secrets Manager und Model Registry. |
| Serverlose Studio EMR-Anwendungen ausführen | Berechtigungen zum Erstellen und Verwalten von serverlosen EMR-Anwendungen in Amazon SageMaker Studio. |
# Starten von Studio Classic
Verwenden Sie Ihre personenorientierten Rollen, um Studio Classic zu starten. Wenn Sie ein Administrator sind, können Sie Ihren Benutzern Zugriff auf Studio Classic gewähren und sie ihre persönliche Rolle entweder direkt über AWS-Managementkonsole oder über die AWS IAM Identity Center annehmen lassen.
## Starten Sie Studio Classic mit AWS-Managementkonsole
Damit Datenwissenschaftler oder andere Benutzer ihre eigene Persönlichkeit über AWS-Managementkonsole annehmen können, benötigen sie eine Konsolenrolle, um zur Studio-Classic-Umgebung zu gelangen.
Sie können Amazon SageMaker Role Manager nicht verwenden, um eine Rolle zu erstellen, die Berechtigungen für gewährt AWS-Managementkonsole. Nachdem Sie eine Servicerolle im Rollenmanager erstellt haben, können Sie jedoch zur IAM-Konsole wechseln, um die Rolle zu bearbeiten und eine Benutzerzugriffsrolle hinzuzufügen. Im Folgenden finden Sie ein Beispiel für eine Rolle, die Benutzern Zugriff auf Folgendes AWS-Managementkonsole bietet:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeCurrentDomain",
"Effect": "Allow",
"Action": "sagemaker:DescribeDomain",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:domain/"
},
{
"Sid": "RemoveErrorMessagesFromConsole",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAcceptedPortfolioShares",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:ListModels",
"sagemaker:ListTrainingJobs",
"servicecatalog:ListPrincipalsForPortfolio",
"sagemaker:ListNotebookInstances",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "RequiredForAccess",
"Effect": "Allow",
"Action": [
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": "*"
},
{
"Sid": "CreatePresignedURLForAccessToDomain",
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedDomainUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:user-profile//"
}
]
}
```
------
Wählen Sie in der Studio-Classic-Systemsteuerung die Option **Benutzer hinzufügen** aus, um einen neuen Benutzer zu erstellen. Geben Sie Ihrem Benutzer im Abschnitt **Allgemeine Einstellungen** einen Namen und legen Sie als **Standard-Ausführungsrolle** für den Benutzer die Rolle fest, die Sie mit Amazon SageMaker Role Manager erstellt haben.
Wählen Sie auf dem nächsten Bildschirm die entsprechende Jupyter Lab-Version und ob SageMaker KI-Projektvorlagen aktiviert SageMaker JumpStart werden sollen. Klicken Sie anschließend auf **Weiter**. Wählen Sie auf der Seite mit den SageMaker Canvas-Einstellungen aus, ob die SageMaker Canvas-Unterstützung aktiviert werden soll und ob zusätzlich Zeitreihenprognosen in Canvas aktiviert werden sollen. SageMaker Wählen Sie dann **Submit (Absenden)**.
Ihr neuer Benutzer sollte jetzt in der Studio-Classic-Systemsteuerung sichtbar sein. Um diesen Benutzer zu testen, wählen Sie **Studio** aus der Dropdown-Liste **App starten** in derselben Zeile wie der Name des Benutzers aus.
## Starten von Studio Classic mit IAM Identity Center
Um IAM Identity Center-Benutzern Ausführungsrollen zuzuweisen, muss der Benutzer zunächst im IAM Identity Center-Verzeichnis vorhanden sein. Weitere Informationen finden Sie unter [Verwalten von Identitäten im IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) im *AWS IAM Identity Center*.
**Anmerkung**
Ihr Authentifizierungsverzeichnis von IAM Identity Center und Ihre Studio-Classic-Domain müssen sich in derselben AWS-Region befinden.
1. Um Benutzer von IAM Identity Center Ihrer Studio-Classic-Domain zuzuweisen, wählen Sie in der Studio-Classic-Systemsteuerung die Option **Benutzer und Gruppen zuweisen** aus. Wählen Sie auf dem Bildschirm **Benutzer und Gruppen zuweisen** Ihren Data-Scientist-Benutzer aus und wählen Sie dann **Benutzer und Gruppen zuweisen**.
1. Nachdem der Benutzer zur Studio-Classic-Systemsteuerung hinzugefügt wurde, wählen Sie den Benutzer aus, um den Bildschirm mit den Benutzerdetails zu öffnen.
1. Wählen Sie auf dem Bildschirm **Benutzerdetails** die Option **Bearbeiten**.
1. Ändern Sie auf dem Bildschirm **Benutzerprofil bearbeiten** unter **Allgemeine Einstellungen** die **Standard-Ausführungsrolle** so, dass sie der Benutzerausführungsrolle entspricht, die Sie für Ihre Datenwissenschaftler erstellt haben.
1. Wählen Sie auf den restlichen Einstellungsseiten **Weiter** und anschließend **Absenden** aus, um Ihre Änderungen zu speichern.
Wenn sich Ihr Datenwissenschaftler oder ein anderer Benutzer beim Portal von IAM Identity Center anmeldet, wird ihm eine Kachel für diese Studio-Classic-Domain angezeigt. Wenn Sie diese Kachel auswählen, werden sie mit der ihnen zugewiesenen Benutzerausführungsrolle bei Studio Classic angemeldet.
# Rollenmanager FAQs
In den folgenden FAQs finden Sie Antworten auf häufig gestellte Fragen zu Amazon SageMaker Role Manager.
## F: Wie kann ich auf Amazon SageMaker Role Manager zugreifen?
A: Sie können über mehrere Standorte in der Amazon SageMaker AI-Konsole auf Amazon SageMaker Role Manager zugreifen. Informationen zum Zugriff auf den Rollenmanager und dessen Verwendung zum Erstellen einer Rolle finden Sie unter [Verwenden Sie den Rollenmanager (Konsole)](role-manager-tutorial.md).
## F: Was sind Personas?
A: Personas sind vorkonfigurierte Gruppen von Berechtigungen, die auf allgemeinen Verantwortlichkeiten im Bereich Machine Learning (ML) basieren. Beispielsweise schlägt die Data-Science-Persona Berechtigungen für allgemeine Entwicklungen und Experimente mit maschinellem Lernen in einer SageMaker KI-Umgebung vor, während die MLOps Persona Berechtigungen für ML-Aktivitäten im Zusammenhang mit Operationen vorschlägt.
## F: Was sind ML-Aktivitäten?
A: ML-Aktivitäten sind allgemeine AWS Aufgaben im Zusammenhang mit maschinellem Lernen mit SageMaker KI, für die spezielle IAM-Berechtigungen erforderlich sind. Jede Persona schlägt verwandte ML-Aktivitäten vor, wenn sie eine Rolle mit Amazon SageMaker Role Manager erstellen. Zu den ML-Aktivitäten gehören Aufgaben wie Amazon S3-Vollzugriff oder das Suchen und Visualisieren von Experimenten. Weitere Informationen finden Sie unter [Referenz zur ML-Aktivität](role-manager-ml-activities.md).
## F: Gehören die Rollen, die ich erstelle, zu den Rollen des Rollenmanagers AWS Identity and Access Management (IAM)?
A: Ja. Rollen, die mit dem Amazon SageMaker Role Manager erstellt wurden, sind IAM-Rollen mit benutzerdefinierten Zugriffsrichtlinien. Sie können die erstellten Rollen im Bereich **Rollen** der [IAM-Konsole](https://console.aws.amazon.com/iamv2/) einsehen.
## F: Wie kann ich die Rollen anzeigen, die ich mit Amazon SageMaker Role Manager erstellt habe?
A: Sie können die erstellten Rollen im Bereich **Rollen** der [IAM-Konsole](https://console.aws.amazon.com/iamv2/) einsehen. Standardmäßig wird das Präfix `"sagemaker-"` jedem Rollennamen hinzugefügt, um die Suche in der IAM-Konsole zu vereinfachen. Wenn Sie Ihre Rolle beispielsweise `test-123` bei der Rollenerstellung benannt haben, wird Ihre Rolle wie `sagemaker-test-123` in der IAM-Konsole angezeigt.
## F: Kann ich eine mit Amazon Role Manager erstellte SageMaker Rolle ändern, nachdem sie erstellt wurde?
A: Ja. Sie können die von Amazon SageMaker Role Manager erstellten Rollen und Richtlinien über die [IAM-Konsole](https://console.aws.amazon.com/iamv2/) ändern. Weitere Informationen finden Sie unter [Ändern einer Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) im *AWS Identity and Access Management IAM-Benutzerhandbuch*.
## F: Kann ich meine eigenen Richtlinien an Rollen anhängen, die mit Amazon SageMaker Role Manager erstellt wurden?
A: Ja. Sie können beliebige AWS oder vom Kunden verwaltete IAM-Richtlinien aus Ihrem Konto an die Rolle anhängen, die Sie mit Amazon SageMaker Role Manager erstellen.
## F: Wie viele Richtlinien kann ich zu einer Rolle hinzufügen, die ich mit Amazon SageMaker Role Manager erstelle?
A: Die Höchstgrenze für das Anhängen verwalteter Richtlinien an eine IAM-Rolle oder einen IAM-Benutzer beträgt 20. Die maximale Zeichengröße für verwaltete Richtlinien beträgt 6.144. Weitere Informationen finden Sie unter [IAM-Objektkontingente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities) und [IAM- und AWS -Security-Token-Service Kontingentnamen sowie Zeichenbeschränkungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html).
## F: Kann ich Bedingungen zu ML-Aktivitäten hinzufügen?
A: Alle Bedingungen, die Sie im Amazon [Schritt 1. Geben Sie Rolleninformationen ein](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) SageMaker Role Manager angeben, wie Subnetze, Sicherheitsgruppen oder KMS-Schlüssel, werden automatisch an alle ML-Aktivitäten weitergegeben, die Sie in [Schritt 2. Konfigurieren von ML-Aktivitäten](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities) ausgewählt haben. Falls erforderlich, können Sie ML-Aktivitäten auch zusätzliche Bedingungen hinzufügen. Sie können beispielsweise auch `InstanceTypes` oder `IntercontainerTrafficEncryption` Bedingungen zur Aktivität Trainingsaufträge verwalten hinzufügen.
## F: Kann ich Tagging verwenden, um den Zugriff auf jede Ressource zu verwalten? AWS
A: **** Sie können Ihrer Rolle im [Schritt 3: Fügen Sie zusätzliche Richtlinien und Tags hinzu](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags) Amazon SageMaker Role Manager Tags hinzufügen. Um AWS Ressourcen erfolgreich mithilfe von Tags zu verwalten, müssen Sie sowohl der Rolle als auch allen zugehörigen Richtlinien dasselbe Tag hinzufügen. Beispielsweise können Sie einer Rolle und einem Amazon-S3-Bucket ein Tag zuweisen. Da die Rolle das Tag dann an die SageMaker AI-Sitzung weitergibt, kann nur ein Benutzer mit dieser Rolle auf diesen S3-Bucket zugreifen. Sie können einer Richtlinie über die [IAM-Konsole](https://console.aws.amazon.com/iamv2/) Tags hinzufügen. Weitere Informationen finden Sie unter [IAM-Rollen taggen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html) im *AWS Identity and Access Management IAM-Benutzerhandbuch*.
## F: Kann ich Amazon SageMaker Role Manager verwenden, um eine Rolle für den AWS-Managementkonsole Zugriff auf zu erstellen?
A: Nein. Nachdem Sie jedoch eine Servicerolle im Rollenmanager erstellt haben, können Sie zur IAM-Konsole wechseln, um die Rolle zu bearbeiten und in der IAM-Konsole eine Rolle mit menschlichem Zugriff hinzuzufügen.
## F: Was ist der Unterschied zwischen einer Benutzerverbundrolle und einer SageMaker KI-Ausführungsrolle?
A: Eine Benutzerverbundrolle wird direkt von einem Benutzer übernommen, um auf AWS Ressourcen wie den Zugriff auf die AWS-Managementkonsole zuzugreifen. Eine SageMaker KI-Ausführungsrolle wird vom SageMaker KI-Dienst übernommen, um eine Funktion im Namen eines Benutzers oder eines Automatisierungstools auszuführen. Wenn ein Benutzer beispielsweise eine Studio-Classic-Instance öffnet, übernimmt Studio Classic die dem Benutzerprofil zugeordnete Ausführungsrolle, um im Namen des Benutzers auf AWS -Ressourcen zuzugreifen. Wenn das Benutzerprofil keine Ausführungsrolle spezifiziert, wird die Ausführungsrolle auf Amazon SageMaker AI-Domainebene angegeben.
## F: Welche Rolle wird verwendet, wenn ich eine benutzerdefinierte Webanwendung verwende, die über eine vordefinierte URL auf Studio Classic zugreift?
A: Wenn Sie eine benutzerdefinierte Webanwendung für den Zugriff auf Studio Classic verwenden, verfügen Sie über eine hybride Benutzerverbundrolle und eine SageMaker KI-Ausführungsrolle. Stellen Sie sicher, dass diese Rolle über die geringsten Rechte verfügt, sowohl für das, was der Benutzer tun kann, als auch für das, was Studio Classic im Namen des zugehörigen Benutzers tun kann.
## F: Kann ich Amazon SageMaker Role Manager mit der AWS IAM Identity Center-Authentifizierung für meine Studio Classic-Domain verwenden?
A: Cloud-Anwendungen von AWS IAM Identity Center Studio Classic verwenden eine Studio Classic-Ausführungsrolle, um Verbundbenutzern Berechtigungen zu gewähren. Diese Ausführungsrolle kann auf der Benutzerprofilebene von Studio Classic IAM Identity Center oder auf der Ebene der Standarddomain angegeben werden. Benutzeridentitäten und Gruppen müssen mit IAM Identity Center synchronisiert werden, und das Studio Classic-Benutzerprofil muss mit der IAM Identity Center-Benutzerzuweisung erstellt werden. [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) Weitere Informationen finden Sie unter [Starten von Studio Classic mit IAM Identity Center](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center).
# Zugriffskontrolle für Notebooks
Sie müssen unterschiedliche Verfahren verwenden, um den Zugriff auf Amazon SageMaker Studio Classic-Notebooks und SageMaker Notebook-Instances zu kontrollieren, da sie unterschiedliche Laufzeitumgebungen haben. Studio Classic nutzt Dateisystemberechtigungen und Container, um den Zugriff auf Studio-Classic-Notebooks und die Isolierung von Benutzern zu kontrollieren. Eine SageMaker Notebook-Instance gewährt Benutzern, die sich bei der Notebook-Instance anmelden, standardmäßigen Root-Zugriff. In den folgenden Themen wird beschrieben, wie Sie Berechtigungen für beide Arten von Notebooks ändern.
**Topics**
+ [Zugriffskontrolle und Einstellung von Berechtigungen für SageMaker Studio-Notebooks](security-access-control-studio-nb.md)
+ [Steuern Sie den Root-Zugriff auf eine Notebook-Instance SageMaker](nbi-root-access.md)
# Zugriffskontrolle und Einstellung von Berechtigungen für SageMaker Studio-Notebooks
Amazon SageMaker Studio verwendet Dateisystem- und Containerberechtigungen für die Zugriffskontrolle und Isolierung von Studio-Benutzern und Notebooks. Dies ist einer der Hauptunterschiede zwischen Studio-Notebooks und SageMaker Notebook-Instances. In diesem Thema wird beschrieben, wie Berechtigungen eingerichtet werden, um Sicherheitsbedrohungen zu vermeiden, was SageMaker KI standardmäßig tut und wie der Kunde die Berechtigungen anpassen kann. Weitere Informationen zu Studio-Notebooks und ihrer Laufzeitumgebung finden Sie unter [Verwenden Sie Amazon SageMaker Studio Classic-Notizbücher](notebooks.md).
**SageMaker Berechtigungen für KI-Apps**
Ein *Run-As-Benutzer* ist ein POSIX-Benutzer, der verwendet wird user/group , um die JupyterServer App und die KernelGateway Apps innerhalb des Containers auszuführen.
Der Run-as-Benutzer für die JupyterServer App ist standardmäßig sagemaker-user (1000). Dieser Benutzer hat Sudo-Berechtigungen, um die Installation von Abhängigkeiten wie Yum-Paketen zu ermöglichen.
Der Run-as-Benutzer für die KernelGateway Apps ist standardmäßig root (0). Dieser Benutzer kann Abhängigkeiten mithilfe von installieren. pip/apt-get/conda
Aufgrund der Neuzuweisung von Benutzern kann keiner der Benutzer auf Ressourcen zugreifen oder Änderungen an der Host-Instance vornehmen.
**Neuzuweisung von Benutzern**
SageMaker AI führt eine Benutzer-Neuzuordnung durch, um einen Benutzer innerhalb des Containers einem Benutzer auf der Host-Instance außerhalb des Containers zuzuordnen. Der Benutzerbereich IDs (0 — 65535) im Container wird einem Benutzer IDs ohne Zugriffsrechte über 65535 auf der Instance zugeordnet. Beispielsweise könnte sagemaker-user (1000) innerhalb des Containers dem Benutzer (200001) auf der Instance zugeordnet werden, wobei die Zahl in Klammern die Benutzer-ID ist. Wenn der Kunde user/group innerhalb des Containers eine neue Instanz erstellt, erhält diese unabhängig von der ID keine Rechte auf der Host-Instance. user/group Der Root-Benutzer des Containers ist auch einem Benutzer ohne Zugriffsrechte auf der Instance zugeordnet. Weitere Informationen finden Sie unter [Isolieren von Containern mit einem Benutzernamespace](https://docs.docker.com/engine/security/userns-remap/).
**Anmerkung**
Dateien, die vom Benutzer sagemaker-user erstellt wurden, sehen möglicherweise so aus, als wären sie Eigentum von sagemaker-studio (UID 65534). Dies ist ein Nebeneffekt eines schnellen App-Erstellungsmodus, bei dem SageMaker KI-Container-Images vorab abgerufen werden, sodass Anwendungen in weniger als einer Minute gestartet werden können. Wenn Ihre Anwendung erfordert, dass die UID des Dateieigentümers und die UID des Prozesseigentümers übereinstimmen, bitten Sie den Kundendienst, Ihre Kontonummer aus der Funktion zum Pre-Pull von Bildern zu entfernen.
**Benutzerdefinierte Bildberechtigungen**
Kunden können ihre eigenen benutzerdefinierten SageMaker Bilder mitbringen. Diese Bilder können einen anderen Run-As user/group zum Starten der KernelGateway App angeben. Der Kunde kann eine detaillierte Berechtigungssteuerung innerhalb des Images implementieren, um beispielsweise den Root-Zugriff zu deaktivieren oder andere Aktionen auszuführen. Hier gilt dieselbe Benutzer-Neuzuweisung. Weitere Informationen finden Sie unter [Benutzerdefinierte Bilder in Amazon SageMaker Studio Classic](studio-byoi.md).
**Container-Isolierung**
Docker führt eine Liste von Standardfunktionen, die der Container verwenden kann. SageMaker KI fügt keine zusätzlichen Funktionen hinzu. SageMaker KI fügt spezifische Routenregeln hinzu, um Anfragen an Amazon EFS und den [Instance-Metadaten-Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service) (IMDS) aus dem Container zu blockieren. Kunden können diese Routenregeln nicht vom Container aus ändern. Weitere Informationen finden Sie unter [Laufzeitprivileg und Linux-Funktionen](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities).
**Zugriff auf App-Metadaten**
Metadaten, die von laufenden Apps verwendet werden, werden schreibgeschützt in den Container gemountet. Kunden können diese Metadaten nicht vom Container aus ändern. Die verfügbaren Metadaten finden Sie unter [Holen Sie sich Amazon SageMaker Studio Classic-Notizbuch- und App-Metadaten](notebooks-run-and-manage-metadata.md).
**Benutzerisolierung auf EFS**
Wenn Sie Studio nutzen, erstellt SageMaker KI ein Amazon Elastic File System (EFS) -Volume für Ihre Domain, das von allen Studio-Benutzern in der Domain gemeinsam genutzt wird. Jeder Benutzer erhält sein eigenes privates Home-Verzeichnis auf dem EFS-Volume. Dieses Home-Verzeichnis wird verwendet, um die Notebooks, Git-Repositorys und andere Daten des Benutzers zu speichern. Um zu verhindern, dass andere Benutzer in der Domain auf die Daten des Benutzers zugreifen, erstellt SageMaker KI eine weltweit eindeutige Benutzer-ID für das Benutzerprofil und wendet sie als user/group POSIX-ID für das Home-Verzeichnis des Benutzers an.
**EBS-Zugriff**
Ein Amazon Elastic Block Store (Amazon EBS) -Volume wird an die Host-Instance angehängt und von allen Images gemeinsam genutzt. Es wird für das Root-Volume der Notebooks verwendet und speichert temporäre Daten, die im Container generiert werden. Der Speicher bleibt nicht erhalten, wenn die Instance, auf der die Notebooks ausgeführt werden, gelöscht wird. Der Root-Benutzer im Container kann nicht auf das EBS-Volume zugreifen.
**IMDS-Zugriff**
Aus Sicherheitsgründen ist der Zugriff auf den Amazon Elastic Compute Cloud (Amazon EC2) Instance Metadata Service (IMDS) in SageMaker Studio nicht verfügbar. Weitere Informationen über IMDS finden Sie unter [Instance-Metadaten und Benutzerdaten](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).
# Steuern Sie den Root-Zugriff auf eine Notebook-Instance SageMaker
Wenn Sie eine Notebook-Instance erstellen, verfügen Benutzer, die sich bei dieser Notebook-Instance anmelden, standardmäßig über einen Root-Zugriff. Die Datenwissenschaft ist ein iterativer Prozess, bei dem die Datenwissenschaftler möglicherweise verschiedene Softwaretools und -pakete testen und verwenden müssen, sodass viele Benutzer von Notebook-Instances einen Root-Zugriff benötigen, um diese Tools und Pakete installieren zu können. Da Benutzer mit Root-Zugriff über Administratorrechte verfügen, können Benutzer bei aktiviertem Root-Zugriff auf alle Dateien einer Notebook-Instance zugreifen und diese bearbeiten.
Wenn Sie nicht möchten, dass Benutzer Root-Zugriff auf eine Notebook-Instance haben, wenn Sie – [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html)oder [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html)-Operationen aufrufen, legen Sie das Feld `RootAccess` auf `Disabled` fest. Sie können den Root-Zugriff für Benutzer auch deaktivieren, wenn Sie eine Notebook-Instance in der Amazon SageMaker AI-Konsole erstellen oder aktualisieren. Weitere Informationen finden Sie unter [Erstellen Sie eine Amazon SageMaker Notebook-Instance für das Tutorial](gs-setup-working-env.md).
**Anmerkung**
Bei Lebenszykluskonfigurationen ist ein Root-Zugriff erforderlich, um eine Notebook-Instance einrichten zu können. Aus diesem Grund werden Lebenszykluskonfigurationen, die einer Notebook-Instance zugeordnet sind, immer mit Root-Zugriff ausgeführt, selbst wenn Sie den Root-Zugriff für Benutzer deaktivieren.
**Anmerkung**
Aus Sicherheitsgründen wird Rootless Docker auf Notebook-Instances mit deaktivierter Root-Funktion statt auf regulären Docker-Instances installiert. Weitere Informationen finden Sie unter Den [Docker-Daemon als Nicht-Root-Benutzer ausführen (Rootless-Modus)](https://docs.docker.com/engine/security/rootless/)
## Sicherheitsüberlegungen
Lifecycle-Konfigurationsskripten werden mit Root-Zugriff ausgeführt und erben die vollen Rechte der IAM-Ausführungsrolle der Notebook-Instance. Jeder (einschließlich Administratoren), der berechtigt ist, Lebenszykluskonfigurationen zu erstellen oder zu ändern und Notebook-Instanzen zu verwalten, kann Code mit den Anmeldeinformationen der Ausführungsrolle ausführen. Beachten Sie daher bitte die folgenden bewährten Methoden.
Bewährte Methoden:
+ Administratorzugriff einschränken: Gewähren Sie Berechtigungen zur Lebenszykluskonfiguration nur vertrauenswürdigen Administratoren, die sich mit den Sicherheitsauswirkungen auskennen.
+ Wenden Sie die Prinzipien der geringsten Rechte an: Definieren Sie die Ausführungsrollen für Notebook-Instances mit nur den Mindestberechtigungen, die für legitime Workloads erforderlich sind.
+ Überwachung aktivieren: Überprüfen Sie regelmäßig die CloudWatch Protokolle auf die Ausführung der Lebenszykluskonfiguration in der Protokollgruppe`/aws/sagemaker/NotebookInstances`, um unerwartete Aktivitäten zu erkennen.
+ Implementieren Sie Änderungskontrollen: Richten Sie Genehmigungsverfahren für Änderungen der Lebenszykluskonfiguration in Produktionsumgebungen ein.
# Amazon SageMaker AI API-Berechtigungen: Referenz zu Aktionen, Berechtigungen und Ressourcen
Wenn Sie die Zugriffskontrolle einrichten und eine Berechtigungsrichtlinie schreiben, die Sie an eine IAM-Identität anhängen können (eine identitätsbasierte Richtlinie), verwenden Sie die folgende Tabelle als Referenz. In der Tabelle sind alle Amazon SageMaker AI-API-Operationen, die entsprechenden Aktionen aufgeführt, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, und die AWS Ressource, für die Sie die Berechtigungen erteilen können. Die Aktionen geben Sie im Feld `Action` und den Wert für die Ressource im Feld `Resource` der Richtlinie an.
**Anmerkung**
Mit Ausnahme der `ListTags`-API sind Einschränkungen auf Ressourcenebene für `List-`-Aufrufe nicht verfügbar. Jeder Benutzer, der eine `List-`-API aufruft, sieht alle Ressourcen dieses Typs in dem Konto.
Um Bedingungen in Ihren Amazon SageMaker AI-Richtlinien auszudrücken, können Sie AWS-weite Bedingungsschlüssel verwenden. Eine vollständige Liste der Schlüssel für alle AWS Benutzer finden Sie unter [Verfügbare Schlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html#AvailableKeys) in der *Serviceautorisierungsreferenz*.
**Warnung**
Auf einige SageMaker API-Aktionen kann möglicherweise weiterhin über die `[Search API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html)` zugegriffen werden. Wenn ein Benutzer beispielsweise über eine IAM-Richtlinie verfügt, die Berechtigungen für einen `Describe` Aufruf für eine bestimmte SageMaker KI-Ressource verweigert, kann dieser Benutzer weiterhin über die Such-API auf die Beschreibungsinformationen zugreifen. Um den Benutzerzugriff auf `Describe` Anrufe vollständig einzuschränken, müssen Sie auch den Zugriff auf die Such-API einschränken. Eine Liste der SageMaker KI-Ressourcen, auf die über die Such-API zugegriffen werden kann, finden Sie in der [SageMaker AI Search AWS CLI Command Reference](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/search.html#options).
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
Amazon SageMaker AI API-Operationen und erforderliche Berechtigungen für Aktionen
****
| Amazon SageMaker AI API-Operationen | Erforderliche Berechtigungen (API-Aktionen) | Ressourcen |
| --- | --- | --- |
| `[ DeleteEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:DeleteEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ DeleteVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteVectorEnrichmentJob.html)` | `sagemaker-geospatial:DeleteVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ExportEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportEarthObservationJob.html)` | `sagemaker-geospatial:ExportEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ ExportVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportVectorEnrichmentJob.html)` | `sagemaker-geospatial:ExportVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ GetEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetEarthObservationJob.html)` | `sagemaker-geospatial:GetEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:GetRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ GetTile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetTile.html)` | `sagemaker-geospatial:GetTile` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetVectorEnrichmentJob.html)` | `sagemaker-geospatial:GetVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListEarthObservationJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListEarthObservationJobs.html)` | `sagemaker-geospatial:ListEarthObservationJobs` | `*` |
| `[ ListRasterDataCollections](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListRasterDataCollections.html)` | `sagemaker-geospatial:ListRasterDataCollections` | `*` |
| `[ ListTagsForResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListTagsForResource.html)` | `sagemaker-geospatial:ListTagsForResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListVectorEnrichmentJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListVectorEnrichmentJobs.html)` | `sagemaker-geospatial:ListVectorEnrichmentJobs` | `*` |
| `[ SearchRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_SearchRasterDataCollection.html)` | `sagemaker-geospatial:SearchRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ StartEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartEarthObservationJob.html)` | `sagemaker-geospatial:StartEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StartVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartVectorEnrichmentJob.html)` | `sagemaker-geospatial:StartVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ StopEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopEarthObservationJob.html)` | `sagemaker-geospatial:StopEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StopVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopVectorEnrichmentJob.html)` | `sagemaker-geospatial:StopVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ TagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_TagResource.html)` | `sagemaker-geospatial:TagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ UntagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_UntagResource.html)` | `sagemaker-geospatial:UntagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)` | `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:*` |
| `[ CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)` | `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| `[ CreateAppImageConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAppImageConfig.html)` | `sagemaker:CreateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| `[ CreateAutoMLJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html)` | `sagemaker:CreateAutoMLJob` `iam:PassRole` Die folgende Berechtigung ist nur erforderlich, wenn eines der verknüpften `ResourceConfig` ein bestimmtes `VolumeKmsKeyId ` hat und die verknüpfte Rolle nicht über eine Richtlinie verfügt, die diese Aktion erlaubt: `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html) | `sagemaker:CreateAutoMLJobV2` `iam:PassRole` Die folgende Berechtigung ist nur erforderlich, wenn eines der verknüpften `ResourceConfig` ein bestimmtes `VolumeKmsKeyId ` hat und die verknüpfte Rolle nicht über eine Richtlinie verfügt, die diese Aktion erlaubt: `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| `[ CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)` | `sagemaker:CreateDomain` `iam:CreateServiceLinkedRole` `iam:PassRole` Erforderlich, wenn ein vom Kunden verwalteter KMS-Schlüssel angegeben ist für: `KmsKeyId` `elasticfilesystem:CreateFileSystem` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKeyWithoutPlainText` Erforderlich, um eine Domain zu erstellen, die Folgendes unterstützt RStudio: `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:domain/domain-id` |
| `[ CreateEndpoint](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpoint.html)` | `sagemaker:CreateEndpoint` `kms:CreateGrant` (nur erforderlich, wenn für die zugehörige `EndPointConfig` ein `KmsKeyId` angegeben) ist | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html) | `sagemaker:CreateEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html) | `sagemaker:CreateFlowDefinition` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html) | `sagemaker:CreateHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html) | `sagemaker:CreateInferenceRecommendationsJob` `iam:PassRole` Die folgenden Berechtigungen sind nur erforderlich, wenn Sie einen Verschlüsselungsschlüssel angeben: `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` | `arn:aws:sagemaker:region:account-id:inference-recommendations-job/inferenceRecommendationsJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) | `sagemaker:CreateHyperParameterTuningJob` `iam:PassRole` Die folgende Berechtigung ist nur erforderlich, wenn eines der verknüpften `ResourceConfig` ein bestimmtes `VolumeKmsKeyId ` hat und die verknüpfte Rolle nicht über eine Richtlinie verfügt, die diese Aktion erlaubt: `kms:CreateGrant` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html) | `sagemaker:CreateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html) | `sagemaker:CreateImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html) | Sagemaker: CreateLabelingJob ich bin: PassRole | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) | `sagemaker:CreateModel` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html) | `sagemaker:CreateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html) | `sagemaker:CreateModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) | `sagemaker:CreateNotebookInstance` `iam:PassRole` Die folgenden Berechtigungen sind nur erforderlich, wenn Sie eine VPC für Ihre Notebook-Instance angeben: `ec2:CreateNetworkInterface` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Die folgenden Berechtigungen sind nur erforderlich, wenn Sie einen Verschlüsselungsschlüssel angeben: `kms:DescribeKey` `kms:CreateGrant` Die folgende Berechtigung ist nur erforderlich, wenn Sie einen AWS Secrets Manager-Geheimnis für den Zugriff auf ein privates Git-Repository angeben. `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html) | `sagemaker:CreatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html) | `sagemaker:CreatePresignedDomainUrl` | `arn:aws:sagemaker:region:account-id:app/domain-id/userProfileName`/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) | `sagemaker:CreatePresignedNotebookInstanceUrl` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) | `sagemaker:CreateProcessingJob` `iam:PassRole` `kms:CreateGrant` (nur erforderlich, wenn fü die zugehörige `ProcessingResources` ein `VolumeKmsKeyId` angegeben ist und die zugehörige Rolle keine Richtlinie hat, die diese Aktion zulässt) `ec2:CreateNetworkInterface` (nur erforderlich, wenn Sie eine VPC angeben) | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| `[ CreateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateSpace.html)` | `sagemaker:CreateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html) | `sagemaker:CreateStudioLifecycleConfig` | `arn:aws:sagemaker:region:account-id:studio-lifecycle-config/.*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) | `sagemaker:CreateTrainingJob` `iam:PassRole` `kms:CreateGrant` (nur erforderlich, wenn fü die zugehörige `ResourceConfig` ein `VolumeKmsKeyId` angegeben ist und die zugehörige Rolle keine Richtlinie hat, die diese Aktion zulässt) | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html) | `sagemaker:CreateTrainingPlan` `sagemaker:CreateReservedCapacity` `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:training-plan/*"` `arn:aws:sagemaker:region:account-id:reserved-capacity/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html) | `sagemaker:CreateTransformJob` `kms:CreateGrant` (nur erforderlich, wenn fü die zugehörige `TransformResources` ein `VolumeKmsKeyId` angegeben ist und die zugehörige Rolle keine Richtlinie hat, die diese Aktion zulässt) | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) | `sagemaker:CreateUserProfile` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) | `sagemaker:CreateWorkforce` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | arn:aws:sagemaker:region:account-id:workforce/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html) | `sagemaker:CreateWorkteam` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/work team name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html) | `sagemaker:DeleteApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html) | `sagemaker:DeleteAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html) | `sagemaker:DeleteDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html) | `sagemaker:DeleteEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html) | `sagemaker:DeleteEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html) | `sagemaker:DeleteFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DeleteHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DeleteHumanLoop.html)` | `sagemaker:DeleteHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html) | `sagemaker:DeleteImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html) | `sagemaker:DeleteImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html) | `sagemaker:DeleteModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html) | `sagemaker:DeleteModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html) | `sagemaker:DeleteModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html) | `sagemaker:DeleteModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html) | `sagemaker:DeleteNotebookInstance` Die folgende Berechtigung ist nur erforderlich, wenn Sie eine VPC für Ihre Notebook-Instance angegeben haben: `ec2:DeleteNetworkInterface` Die folgenden Berechtigungen sind nur erforderlich, wenn Sie beim Erstellen der Notebook-Instance einen Verschlüsselungsschlüssel angegeben haben: `kms:DescribeKey` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html) | `sagemaker:DeletePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[DeleteSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteSpace.html)` | `sagemaker:DeleteSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html) | `sagemaker:DeleteTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html) | `sagemaker:DeleteUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) | `sagemaker:DeleteWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html) | `sagemaker:DeleteWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html) | `sagemaker:DescribeApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html) | `sagemaker:DescribeAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html) | `sagemaker:DescribeAutoMLJob` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html) | `sagemaker:DescribeAutoMLJobV2` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html) | `sagemaker:DescribeDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html) | `sagemaker:DescribeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html) | `sagemaker:DescribeEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html) | `sagemaker:DescribeFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DescribeHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DescribeHumanLoop.html)` | `sagemaker:DescribeHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html) | `sagemaker:DescribeHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html) | `sagemaker:DescribeHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html) | `sagemaker:DescribeImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html) | `sagemaker:DescribeImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html) | `sagemaker:DescribeLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html) | `sagemaker:DescribeModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html) | `sagemaker:DescribeModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html) | `sagemaker:DescribeModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) | `sagemaker:DescribeNotebookInstance ` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html) | `sagemaker:DescribePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html) | `sagemaker:DescribePipelineDefinitionForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html) | `sagemaker:DescribePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html) | `sagemaker:DescribeProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingjobname` |
| `[DescribeSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSpace.html)` | `sagemaker:DescribeSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html) | `sagemaker:DescribeSubscribedWorkteam` `aws-marketplace:ViewSubscriptions` | `arn:aws:sagemaker:region:account-id:workteam/vendor-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html) | `sagemaker:DescribeTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html) | `sagemaker:DescribeTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html) | `sagemaker:DescribeUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) | `sagemaker:DescribeWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html) | `sagemaker:DescribeWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html) | `sagemaker:GetModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html) | `sagemaker:InvokeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html) | `sagemaker:ListAppImageConfigs` | `arn:aws:sagemaker:region:account-id:app-image-config/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html) | `sagemaker:ListApps` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html) | `sagemaker:ListDomains` | `arn:aws:sagemaker:region:account-id:domain/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html) | `sagemaker:ListEndpointConfigs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html) | `sagemaker:ListEndpoints` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html) | `sagemaker:ListFlowDefinitions` | `*` |
| `[ListHumanLoops](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_ListHumanLoops.html)` | `sagemaker:ListHumanLoops` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html) | `sagemaker:ListHumanTaskUis` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html) | `sagemaker:ListHyperParameterTuningJobs` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html) | `sagemaker:ListImages` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html) | `sagemaker:ListImageVersions` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html) | `sagemaker:ListLabelingJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html) | `sagemaker:ListLabelingJobForWorkteam` | `*` |
| `[ ListModelPackageGroups](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackageGroups.html)` | `sagemaker:ListModelPackageGroups` | `arn:aws:sagemaker:region:account-id :model-package-group/ModelPackageGroupName` |
| `[ ListModelPackages](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackages.html)` | `sagemaker:ListModelPackages` | `arn:aws:sagemaker:region:account-id :model-package/ModelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html) | `sagemaker:ListModels` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html) | `sagemaker:ListNotebookInstances` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html) | `sagemaker:ListPipelineExecutions` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html) | `sagemaker:ListPipelineExecutionSteps` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html) | `sagemaker:ListPipelineParametersForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html) | `sagemaker:ListPipelines` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html) | `sagemaker:ListProcessingJobs` | `*` |
| `[ListSpaces](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSpaces.html)` | `sagemaker:ListSpaces` | `arn:aws:sagemaker:region:account-id:space/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html) | `sagemaker:ListSubscribedWorkteams` `aws-marketplace:ViewSubscriptions` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html) | `sagemaker:ListTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html) | `sagemaker:ListTrainingJobs` | `*` |
| `[ ListTrainingJobsForHyperParameterTuningJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobsForHyperParameterTuningJob.html)` | `sagemaker:ListTrainingJobsForHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html) | `sagemaker:ListTransformJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html) | `sagemaker:ListUserProfiles` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html) | `sagemaker:ListWorkforces` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html) | `sagemaker:ListWorkteams` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html) | `sagemaker:PutModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html) | `sagemaker:RetryPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) | `sagemaker:Search` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html) | `sagemaker:SendPipelineExecutionStepFailure` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html) | `sagemaker:SendPipelineExecutionStepSuccess` | `*` |
| `[StartHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StartHumanLoop.html)` | `sagemaker:StartHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html) | `sagemaker:StartNotebookInstance` Die folgenden Berechtigungen sind nur erforderlich, wenn Sie beim Erstellen der Notebook-Instance eine VPC angegeben haben: `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Die folgenden Berechtigungen sind nur erforderlich, wenn Sie beim Erstellen der Notebook-Instance einen Verschlüsselungsschlüssel angegeben haben: `kms:DescribeKey` `kms:CreateGrant` Die folgende Berechtigung ist nur erforderlich, wenn Sie beim Erstellen der Notebook-Instance ein AWS Secrets Manager-Geheimnis für den Zugriff auf ein privates Git-Repository angegeben haben: `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html) | `sagemaker:StartPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[StopHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StopHumanLoop.html)` | `sagemaker:StopHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html) | `sagemaker:StopHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html) | `sagemaker:StopLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html) | `sagemaker:StopNotebookInstance` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html) | `sagemaker:StopPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html) | `sagemaker:StopProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html) | `sagemaker:StopTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html) | `sagemaker:StopTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html) | `sagemaker:UpdateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) | `sagemaker:UpdateDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html) | `sagemaker:UpdateEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html) | `sagemaker:UpdateEndpointWeightsAndCapacities` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) | `sagemaker:UpdateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html) | `sagemaker:UpdateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html) | `sagemaker:UpdateNotebookInstance` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html) | `sagemaker:UpdatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html) | `sagemaker:UpdatePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| `[UpdateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateSpace.html)` | `sagemaker:UpdateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html) | `sagemaker:UpdateUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) | `sagemaker:UpdateWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) | `sagemaker:UpdateWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
# AWS verwaltete Richtlinien für Amazon SageMaker AI
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art der Aktualisierung betrifft alle Identitäten (Benutzer, Gruppen und Rollen), denen die Richtlinie zugeordnet ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die `ReadOnlyAccess` AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
**Wichtig**
Wir empfehlen, dass Sie die am stärksten eingeschränkte Richtlinie verwenden, die es Ihnen ermöglicht, Ihren Anwendungsfall auszuführen.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Gewährt vollen Zugriff auf Amazon SageMaker AI und SageMaker KI-Geodatenressourcen sowie die unterstützten Operationen. Dies bietet keinen uneingeschränkten Zugriff auf Amazon S3, sondern unterstützt Buckets und Objekte mit bestimmten `sagemaker` Tags. Diese Richtlinie ermöglicht die Übergabe aller IAM-Rollen an Amazon SageMaker AI, erlaubt jedoch nur die Weitergabe von IAM-Rollen mit AmazonSageMaker "" an die Dienste AWS Glue AWS Step Functions, und AWS RoboMaker .
+ **`AmazonSageMakerReadOnly`**— Gewährt schreibgeschützten Zugriff auf Amazon SageMaker AI-Ressourcen.
Die folgenden AWS verwalteten Richtlinien können Benutzern in Ihrem Konto zugewiesen werden, werden jedoch nicht empfohlen:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) – Erlaubt alle Aktionen für alle AWS Dienste und für alle Ressourcen im Konto.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist) – Gewährt ein breites Spektrum an Berechtigungen, welche die meisten Anwendungsfälle abdecken (in erster Linie für Analysen und Business Intelligence), die Datenexperten gefunden haben.
Sie können diese Berechtigungsrichtlinien prüfen, indem Sie sich bei der IAM Konsole anmelden und nach ihnen suchen.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für Amazon SageMaker AI-Aktionen und -Ressourcen nach Bedarf zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den -Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS verwaltete Richtlinie: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS verwaltete Richtlinien für Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS verwaltete Richtlinien für Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS verwaltete Richtlinien für Amazon SageMaker Geospatial](security-iam-awsmanpol-geospatial.md)
+ [AWS Verwaltete Richtlinien für Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS verwaltete Richtlinien für Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Verwaltete Richtlinien für SageMaker KI-Modell-Governance](security-iam-awsmanpol-governance.md)
+ [AWS Verwaltete Richtlinien für Model Registry](security-iam-awsmanpol-model-registry.md)
+ [AWS Verwaltete Richtlinien für SageMaker Notebooks](security-iam-awsmanpol-notebooks.md)
+ [AWS verwaltete Richtlinien für Amazon SageMaker Partner AI Apps](security-iam-awsmanpol-partner-apps.md)
+ [AWS Verwaltete Richtlinien für SageMaker Pipelines](security-iam-awsmanpol-pipelines.md)
+ [AWS verwaltete Richtlinien für SageMaker Ausbildungspläne](security-iam-awsmanpol-training-plan.md)
+ [AWS Verwaltete Richtlinien für SageMaker Projekte und JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker KI-Updates für AWS verwaltete Richtlinien](#security-iam-awsmanpol-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerFullAccess
Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Geodatenressourcen und Operationen von Amazon SageMaker SageMaker AI und AI gewähren. Die Richtlinie bietet auch ausgewählten Zugriff auf verwandte Dienste. Diese Richtlinie ermöglicht die Übergabe aller IAM-Rollen an Amazon SageMaker AI, erlaubt jedoch nur die Weitergabe von IAM-Rollen mit AmazonSageMaker "" an die Dienste AWS Glue AWS Step Functions, und AWS RoboMaker . Diese Richtlinie beinhaltet keine Berechtigungen zum Erstellen einer Amazon SageMaker AI-Domain. Informationen zu den Richtlinien, die für die Erstellung einer Domain erforderlich sind, finden Sie unter [Vollständige Amazon SageMaker AI-Voraussetzungen](gs-set-up.md).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `application-autoscaling`— Ermöglicht Prinzipalen die automatische Skalierung eines SageMaker KI-Echtzeit-Inferenzendpunkts.
+ `athena`— Ermöglicht es Prinzipalen, eine Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten abzufragen. Amazon Athena
+ `aws-marketplace`— Ermöglicht Prinzipalen, AWS AI Marketplace-Abonnements einzusehen. Sie benötigen dies, wenn Sie auf abonnierte SageMaker KI-Software zugreifen möchten. AWS Marketplace
+ `cloudformation`— Ermöglicht es Prinzipalen, AWS CloudFormation Vorlagen für die Verwendung von SageMaker JumpStart KI-Lösungen und Pipelines abzurufen. SageMaker KI JumpStart schafft Ressourcen, die für die Ausführung von Lösungen für end-to-end maschinelles Lernen erforderlich sind, die SageMaker KI mit anderen AWS Diensten verbinden. SageMaker AI Pipelines erstellt neue Projekte, die von Service Catalog unterstützt werden.
+ `cloudwatch`— Ermöglicht es Prinzipalen, CloudWatch Kennzahlen zu veröffentlichen, mit Alarmen zu interagieren und Protokolle in die Logs in Ihrem CloudWatch Konto hochzuladen.
+ `codebuild`— Ermöglicht Prinzipalen das Speichern von AWS CodeBuild Artefakten für SageMaker KI-Pipeline und Projekte.
+ `codecommit`— Wird für die AWS CodeCommit Integration mit SageMaker KI-Notebook-Instanzen benötigt.
+ `cognito-idp`— Wird für Amazon SageMaker Ground Truth benötigt, um private Arbeitskräfte und Arbeitsteams zu definieren.
+ `ec2`— Erforderlich für SageMaker KI zur Verwaltung von Amazon EC2 EC2-Ressourcen und Netzwerkschnittstellen, wenn Sie eine Amazon VPC für Ihre SageMaker KI-Jobs, Modelle, Endpunkte und Notebook-Instances angeben.
+ `ecr`— Erforderlich, um Docker-Artefakte für Amazon SageMaker Studio Classic (benutzerdefinierte Images), Training, Verarbeitung, Batch-Inferenz und Inferenzendpunkte abzurufen und zu speichern. Dies ist auch erforderlich, um Ihren eigenen Container in KI zu verwenden. SageMaker Zusätzliche Berechtigungen für SageMaker JumpStart KI-Lösungen sind erforderlich, um benutzerdefinierte Bilder im Namen von Benutzern zu erstellen und zu entfernen.
+ `elasticfilesystem` – Ermöglicht Prinzipalen den Zugriff auf Amazon Elastic File System. Dies ist erforderlich, damit SageMaker KI Datenquellen im Amazon Elastic File System zum Trainieren von Modellen für maschinelles Lernen verwenden kann.
+ `fsx`— Ermöglicht Prinzipalen den Zugriff auf Amazon FSx. Dies ist erforderlich, damit SageMaker KI Datenquellen in Amazon zum Trainieren von Modellen FSx für maschinelles Lernen verwenden kann.
+ `glue`— Wird für die Vorverarbeitung der Inferenz-Pipeline innerhalb von SageMaker KI-Notebook-Instances benötigt.
+ `groundtruthlabeling` – Wird für Ground-Truth-Etikettierungsarbeiten benötigt. Auf den `groundtruthlabeling` Endpunkt wird über die Ground-Truth-Konsole zugegriffen.
+ `iam`— Wird benötigt, um der SageMaker KI-Konsole Zugriff auf verfügbare IAM-Rollen zu gewähren und dienstbezogene Rollen zu erstellen.
+ `kms`— Erforderlich, um der SageMaker KI-Konsole Zugriff auf verfügbare AWS KMS Schlüssel zu gewähren und diese für alle angegebenen AWS KMS Aliase in Jobs und Endpunkten abzurufen.
+ `lambda` – Ermöglicht Prinzipalen das Aufrufen und Abrufen einer Liste von AWS Lambda Funktionen.
+ `logs`— Erforderlich, damit SageMaker KI-Jobs und Endpunkte Log-Streams veröffentlichen können.
+ `redshift` – Ermöglicht Prinzipalen den Zugriff auf Amazon Redshift-Clusteranmeldedaten.
+ `redshift-data` – Ermöglicht Prinzipalen, Daten aus Amazon Redshift zu verwenden, um Anweisungen auszuführen, zu beschreiben und abzubrechen, Anweisungsergebnisse abzurufen und Schemas und Tabellen aufzulisten.
+ `robomaker`— Ermöglicht Prinzipalen vollen Zugriff auf das Erstellen, Abrufen von Beschreibungen und Löschen von AWS RoboMaker Simulationsanwendungen und Jobs. Dies ist auch erforderlich, um Reinforcement-Learning-Beispiele auf Notebook-Instances auszuführen.
+ `s3, s3express`— Ermöglicht Principals vollen Zugriff auf Amazon S3- und Amazon S3 Express-Ressourcen im Zusammenhang mit SageMaker KI, jedoch nicht auf alle Amazon S3- oder Amazon S3 Express-Ressourcen.
+ `sagemaker`— Ermöglicht Prinzipalen, Tags in SageMaker KI-Benutzerprofilen aufzulisten und Tags zu SageMaker KI-Apps und Spaces hinzuzufügen. Erlaubt nur den Zugriff auf die SageMaker KI-Flow-Definitionen von Sagemaker: WorkteamType „private-crowd“ oder „vendor-crowd“. Ermöglicht die Verwendung und Beschreibung von SageMaker KI-Schulungsplänen und reservierten Kapazitäten in SageMaker Ausbildungsberufen und SageMaker HyperPod Clustern in allen AWS Regionen, in denen die Funktion „Trainingspläne“ verfügbar ist.
+ `sagemaker`und `sagemaker-geospatial` — Ermöglicht Prinzipalen den schreibgeschützten Zugriff auf SageMaker KI-Domänen und Benutzerprofile.
+ `secretsmanager` – Ermöglicht Prinzipalen Vollzugriff auf AWS Secrets Manager. Die Prinzipale können die Anmeldeinformationen für Datenbanken und Services sicher verschlüsseln, speichern und abrufen. Dies ist auch für SageMaker KI-Notebook-Instanzen mit SageMaker KI-Code-Repositorys erforderlich, die verwenden. GitHub
+ `servicecatalog` – Ermöglicht Prinzipalen die Verwendung von Service Catalog. Die Principals können bereitgestellte Produkte wie Server, Datenbanken, Websites oder Anwendungen, die mithilfe von Ressourcen bereitgestellt werden, erstellen, eine Liste davon abrufen, aktualisieren oder beenden. AWS Dies ist erforderlich, damit SageMaker KI JumpStart und Projekte Servicekatalogprodukte finden und lesen und AWS Ressourcen für Benutzer bereitstellen können.
+ `sns` – Ermöglicht es Prinzipalen, eine Liste mit Amazon SNS-Themen anzuzeigen. Dies ist für Endgeräte mit aktivierter asynchroner Inferenz erforderlich, um Benutzer darüber zu informieren, dass ihre Inferenz abgeschlossen ist.
+ `states`— Erforderlich, damit SageMaker KI JumpStart und Pipelines einen Servicekatalog verwenden können, um Ressourcen für Step-Funktionen zu erstellen.
+ `tag`— Wird für das Rendern von SageMaker AI-Pipelines in Studio Classic benötigt. Studio Classic benötigt Ressourcen, die mit einem bestimmten `sagemaker:project-id`-Tag-Schlüssel gekennzeichnet sind. Dazu ist die `tag:GetResources` Genehmigung erforderlich.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerReadOnly
Diese Richtlinie gewährt über das SDK AWS-Managementkonsole und den Lesezugriff auf Amazon SageMaker AI.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `application-autoscaling`— Ermöglicht Benutzern das Durchsuchen von Beschreibungen skalierbarer SageMaker KI-Echtzeit-Inferenzendpunkte.
+ `aws-marketplace`— Ermöglicht Benutzern das Anzeigen von AWS AI Marketplace-Abonnements.
+ `cloudwatch`— Ermöglicht Benutzern den Empfang von CloudWatch Alarmen.
+ `cognito-idp`— Wird für Amazon SageMaker Ground Truth benötigt, um Beschreibungen und Listen von privaten Mitarbeitern und Arbeitsteams zu durchsuchen.
+ `ecr` – Erforderlich zum Abrufen und Speichern von Docker-Artefakten für Training und Inferenzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS verwaltete Richtlinien für Amazon SageMaker Canvas
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von Amazon SageMaker Canvas erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS verwaltete Richtlinie: AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS verwaltete Richtlinie: AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS verwaltete Richtlinie: Zugriff AmazonSageMakerCanvas AIServices](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS verwaltete Richtlinie: AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS verwaltete Richtlinie: AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS verwaltete Richtlinie: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerCanvas SMData ScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von Amazon SageMaker Canvas](#security-iam-awsmanpol-canvas-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerCanvasFullAccess
Diese Richtlinie gewährt Berechtigungen, die den vollen Zugriff auf Amazon SageMaker Canvas über das SDK AWS-Managementkonsole und ermöglichen. Die Richtlinie bietet auch ausgewählten Zugriff auf verwandte Dienste [z. B. Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon CloudWatch Logs, Amazon Redshift, Amazon SageMaker Autopilot AWS Secrets Manager, SageMaker Model Registry und Amazon Forecast].
Diese Richtlinie soll Kunden dabei helfen, mit allen Funktionen von Canvas zu experimentieren und loszulegen. SageMaker Für eine genauere Kontrolle empfehlen wir unseren Kunden, ihre eigenen Versionen mit eingeschränktem Umfang zu erstellen, wenn sie zu Produktions-Workloads übergehen. Weitere Informationen finden Sie unter [IAM-Richtlinientypen: Wie und wann werden sie verwendet?](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/).
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker`— Ermöglicht Prinzipalen das Erstellen und Hosten von SageMaker KI-Modellen auf Ressourcen, deren ARN „Canvas“, „Canvas“ oder „Model-Compilation-“ enthält. Darüber hinaus können Benutzer ihr SageMaker Canvas-Modell über dasselbe Konto bei SageMaker AI Model Registry registrieren. AWS Außerdem können Schulleiter SageMaker Schulungs-, Transformations- und AutoML-Jobs erstellen und verwalten.
+ `application-autoscaling`— Ermöglicht es Prinzipalen, einen SageMaker KI-Inferenzendpunkt automatisch zu skalieren.
+ `athena` – ermöglicht es Prinzipalen, eine Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten aus Amazon Athena abzufragen und auf die Tabellen in den Katalogen zuzugreifen.
+ `cloudwatch`— Ermöglicht es Prinzipalen, CloudWatch Amazon-Alarme zu erstellen und zu verwalten.
+ `ec2` – Hiermit können Prinzipale Amazon VPC-Endpunkte erstellen.
+ `ecr` – Ermöglicht es Prinzipalen, Informationen über ein Container-Image abzurufen.
+ `emr-serverless` – Ermöglicht Prinzipalen das Erstellen und Verwalten von Amazon EMR serverlosen Anwendungen und Auftragsausführungen. Ermöglicht es Prinzipalen auch, SageMaker Canvas-Ressourcen zu taggen.
+ `forecast` – Ermöglicht Prinzipalen die Nutzung von Amazon Forecast.
+ `glue`— Ermöglicht Prinzipalen das Abrufen der Tabellen, Datenbanken und Partitionen im AWS Glue Katalog.
+ `iam`— Ermöglicht Principals, eine IAM-Rolle an Amazon SageMaker AI, Amazon Forecast und Amazon EMR Serverless zu übergeben. Ermöglicht es Prinzipalen außerdem, eine serviceverknüpfte Rolle zu erstellen.
+ `kms`— Ermöglicht Prinzipalen das Lesen eines AWS KMS Schlüssels, der mit gekennzeichnet ist. `Source:SageMakerCanvas`
+ `logs` – Ermöglicht Schulleitern die Veröffentlichung von Protokollen von Trainingsaufträgen und Endpunkten.
+ `quicksight`— Ermöglicht Prinzipalen, die Namespaces im Quick-Konto aufzulisten.
+ `rds` – Ermöglicht es Prinzipalen, Informationen über bereitgestellte Amazon RDS-Instances zurückzugeben.
+ `redshift` – Ermöglicht Prinzipalen das Abrufen von Anmeldeinformationen für einen „sagemaker\$1access\$1“ -Dbuser auf einem beliebigen Amazon Redshift-Cluster, falls dieser Benutzer existiert.
+ `redshift-data` – Ermöglicht es Prinzipalen, Abfragen auf Amazon Redshift mithilfe der Amazon Redshift-Daten-API auszuführen. Dies ermöglicht nur den Zugriff auf die Redshift-Daten APIs selbst und nicht direkt auf Ihre Amazon Redshift Redshift-Cluster. Weitere Informationen finden Sie unter [Verwenden der Amazon-Redshift-Daten-API](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3` – Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name "SageMaker„, „Sagemaker“ oder „Sagemaker“ enthält. Außerdem können Prinzipale Objekte aus Amazon S3 S3-Buckets abrufen, deren ARN in bestimmten Regionen mit "jumpstart-cache-prod-“ beginnt.
+ `secretsmanager` – Ermöglicht Prinzipalen das Speichern von Kundenanmeldedaten, um mithilfe von Secrets Manager eine Verbindung zu einer Snowflake-Datenbank herzustellen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS verwaltete Richtlinie: AmazonSageMakerCanvasDataPrepFullAccess
Diese Richtlinie gewährt Berechtigungen, die den vollen Zugriff auf die Datenaufbereitungsfunktionen von Amazon SageMaker Canvas ermöglichen. Die Richtlinie sieht auch Berechtigungen mit den geringsten Rechten für die Dienste vor, die in die Datenvorbereitungsfunktion integriert sind [z. B. Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, AWS Key Management Service (AWS KMS) und]. AWS Secrets Manager
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker` – Ermöglicht Prinzipalen den Zugriff auf Verarbeitungsjobs, Trainingsjobs, Inferenz-Pipelines, AutoML-Jobs und Featuregruppen.
+ `athena` – ermöglicht es Prinzipalen, eine Liste von Datenkatalogen, Datenbanken und Tabellenmetadaten von Amazon Athena abzufragen.
+ `elasticmapreduce` – Ermöglicht Prinzipalen das Lesen und Auflisten von Amazon EMR-Clustern.
+ `emr-serverless` – Ermöglicht Prinzipalen das Erstellen und Verwalten von Amazon EMR serverlosen Anwendungen und Auftragsausführungen. Ermöglicht es Prinzipalen auch, SageMaker Canvas-Ressourcen zu taggen.
+ `events`— Ermöglicht Prinzipalen das Erstellen, Lesen, Aktualisieren und Hinzufügen von Zielen zu EventBridge Amazon-Regeln für geplante Jobs.
+ `glue`— Ermöglicht Prinzipalen das Abrufen und Durchsuchen von Tabellen aus Datenbanken im AWS Glue Katalog.
+ `iam`— Ermöglicht Principals, eine IAM-Rolle an Amazon SageMaker AI und Amazon EMR EventBridge Serverless zu übergeben. Ermöglicht es Prinzipalen außerdem, eine serviceverknüpfte Rolle zu erstellen.
+ `kms`— Ermöglicht Prinzipalen das Abrufen von in Jobs und Endpunkten gespeicherten AWS KMS Aliase und den Zugriff auf den zugehörigen KMS-Schlüssel.
+ `logs` – Ermöglicht Schulleitern die Veröffentlichung von Protokollen von Trainingsaufträgen und Endpunkten.
+ `redshift` – ermöglicht es Prinzipalen, Anmeldedaten für den Zugriff auf eine Amazon-Redshift-Datenbank zu erhalten.
+ `redshift-data` – Ermöglicht Prinzipalen das Ausführen, Stornieren, Beschreiben, Auflisten und Abrufen der Ergebnisse von Amazon-Redshift-Abfragen. Außerdem können Prinzipale Amazon-Redshift-Schemas und -Tabellen auflisten.
+ `s3` – Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name "SageMaker„, „Sagemaker“ oder „Sagemaker“ enthält oder deren Name mit "" gekennzeichnet ist, unabhängig von Groß- und Kleinschreibung. SageMaker
+ `secretsmanager` – ermöglicht es Prinzipalen, Anmeldeinformationen für Kundendatenbanken mithilfe von Secrets Manager zu speichern und abzurufen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS verwaltete Richtlinie: AmazonSageMakerCanvasDirectDeployAccess
Diese Richtlinie gewährt Berechtigungen, die Amazon SageMaker Canvas benötigt, um Amazon SageMaker AI-Endpunkte zu erstellen und zu verwalten.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker`— Ermöglicht Prinzipalen das Erstellen und Verwalten von SageMaker KI-Endpunkten mit einem ARN-Ressourcennamen, der mit „Canvas“ oder „Canvas“ beginnt.
+ `cloudwatch`— Ermöglicht Prinzipalen das Abrufen von CloudWatch Amazon-Metrikdaten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: Zugriff AmazonSageMakerCanvas AIServices
Diese Richtlinie gewährt Amazon SageMaker Canvas die Erlaubnis, Amazon Textract, Amazon Rekognition, Amazon Comprehend und Amazon Bedrock zu verwenden.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `textract` – Ermöglicht es Prinzipalen, Amazon Textract zu verwenden, um Dokumente, Ausgaben und Identitäten in einem Bild zu erkennen.
+ `rekognition` – Ermöglicht es Prinzipalen, Amazon Rekognition zu verwenden, um Beschriftungen und Text in einem Bild zu erkennen.
+ `comprehend` – Ermöglicht es Prinzipalen, Amazon Comprehend zu verwenden, um Stimmungen und dominante Sprache sowie benannte und persönlich identifizierbare Informationen (PII) innerhalb eines Textdokuments zu erkennen.
+ `bedrock` – Ermöglicht es Prinzipalen, Amazon Bedrock zu verwenden, um Foundation-Modelle aufzulisten und aufzurufen.
+ `iam` – Ermöglicht Prinzipalen, eine IAM-Rolle an Amazon Bedrock zu übergeben.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS verwaltete Richtlinie: AmazonSageMakerCanvasBedrockAccess
Diese Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von Amazon SageMaker Canvas mit Amazon Bedrock erforderlich sind.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `s3` – ermöglicht es Prinzipalen, Objekte zu Amazon-S3-Buckets im Verzeichnis „sagemaker-\$1/Canvas“ hinzuzufügen und daraus abzurufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerCanvasForecastAccess
Diese Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von Amazon SageMaker Canvas mit Amazon Forecast erforderlich sind.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `s3` – Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name mit „sagemaker-“ beginnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Diese Richtlinie gewährt Amazon EMR Serverless Berechtigungen für AWS Dienste wie Amazon S3, die von Amazon SageMaker Canvas für die Verarbeitung großer Datenmengen verwendet werden.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `s3` – Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name "SageMaker" oder „Sagemaker“ enthält oder deren Name mit "" gekennzeichnet ist, wobei Groß- und Kleinschreibung nicht SageMaker berücksichtigt wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Diese Richtlinie gewährt Benutzern in Amazon SageMaker Canvas die Erlaubnis, Konversationen mit Amazon Q Developer zu beginnen. Für diese Funktion sind Berechtigungen sowohl für Amazon Q Developer als auch für den SageMaker AI Data Science Assistant Service erforderlich.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `q` – Ermöglicht Principals, Aufforderungen an Amazon Q Developer zu senden.
+ `sagemaker-data-science-assistant`— Ermöglicht Prinzipalen, Eingabeaufforderungen an den SageMaker Canvas Data Science Assistant-Dienst zu senden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von Amazon SageMaker Canvas
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für SageMaker Canvas an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) – Aktualisierung auf eine bestehende Richtlinie | 2 | `q:StartConversation` Berechtigung hinzufügen. | 14. Januar 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) – Neue Richtlinie | 1 | Ursprüngliche Politik | 4. Dezember 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) – Aktualisierung auf eine bestehende Richtlinie | 4 | Ressource zur Erlaubnis hinzufügen. `IAMPassOperationForEMRServerless` | 16. August 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) – Aktualisierung auf eine bestehende Richtlinie | 11 | Ressource zur Erlaubnis hinzufügen. `IAMPassOperationForEMRServerless` | 15. August 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy) – Neue Richtlinie | 1 | Ursprüngliche Politik | 26. Juli 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess – Aktualisierung auf eine bestehende Richtlinie | 3 | Fügen Sie die Berechtigungen `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun`, und `emr-serverless:TagResource` hinzu. | 18. Juli 2024 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 10 | Fügen Sie die Berechtigungen `application-autoscaling:DescribeScalingActivities` `iam:PassRole`, `kms:DescribeKey` und `quicksight:ListNamespaces` hinzu. Fügen Sie die Berechtigungen `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` und `sagemaker:StopTransformJob` hinzu. Fügen Sie `athena:ListTableMetadata`, `athena:ListDataCatalogs` und `athena:ListDatabases` Berechtigungen hinzu. Fügen Sie `glue:GetDatabases`, `glue:GetPartitions` und `glue:GetTables` Berechtigungen hinzu. Fügen Sie die Berechtigungen `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` und `emr-serverless:TagResource` hinzu. | 9. Juli 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess) – Neue Richtlinie | 1 | Ursprüngliche Politik | 2. Februar 2024 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 9 | `sagemaker:ListEndpoints` Berechtigung hinzufügen. | 24. Januar 2024 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 8 | Fügen Sie die Berechtigungen `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` und `iam:CreateServiceLinkedRole` hinzu. | 8. Dezember 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess – Aktualisierung auf eine bestehende Richtlinie | 2 | Kleines Update zur Durchsetzung der Absichten der vorherigen Richtlinie, Version 1; es wurden keine Berechtigungen hinzugefügt oder gelöscht. | 07. Dezember 2023 |
| [AmazonSageMakerCanvasAIServicesZugriff](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) – Aktualisierung auf eine bestehende Richtlinie | 3 | Fügen Sie die Berechtigungen `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` und `iam:PassRole` hinzu. | 29. November 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Neue Richtlinie | 1 | Ursprüngliche Politik | 26. Oktober 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess) – Neue Richtlinie | 1 | Ursprüngliche Politik | 06. Oktober 2023 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 7 | Fügen Sie `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel`, und `sagemaker:InvokeEndpoint` Berechtigungen hinzu. Fügen Sie außerdem `s3:GetObject` Berechtigungen für JumpStart Ressourcen in bestimmten Regionen hinzu. | 29. September 2023 |
| AmazonSageMakerCanvasAIServicesZugriff — Aktualisierung einer bestehenden Richtlinie | 2 | Hinzufügen `bedrock:InvokeModel` und `bedrock:ListFoundationModels` Berechtigungen. | 29. September 2023 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 6 | `rds:DescribeDBInstances` Berechtigung hinzufügen. | 29. August 2023 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 5 | Die Berechtigungen `application-autoscaling:PutScalingPolicy` und `application-autoscaling:RegisterScalableTarget` hinzufügen. | 24. Juli 2023 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 4 | Fügen Sie `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages`, und `sagemaker:ListModelPackageGroups` Berechtigungen hinzu. | 4. Mai 2023 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 3 | Fügen Sie `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` und `glue:SearchTables` Berechtigungen hinzu. | 24. März 2023 |
| AmazonSageMakerCanvasAIServicesZugriff — Neue Richtlinie | 1 | Ursprüngliche Politik | 23. März 2023 |
| AmazonSageMakerCanvasFullAccess - Aktualisierung einer bestehenden Richtlinie | 2 | `forecast:DeleteResourceTree` Berechtigung hinzufügen | 6. Dezember 2022 |
| AmazonSageMakerCanvasFullAccess - Neue Richtlinie | 1 | Ursprüngliche Politik | 8. September 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess) – Neue Richtlinie | 1 | Ursprüngliche Politik | 24. August 2022 |
# AWS verwaltete Richtlinien für Amazon SageMaker Feature Store
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Nutzung von Feature Store erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Amazon SageMaker AI aktualisiert die von Amazon SageMaker Feature Store verwalteten Richtlinien](#security-iam-awsmanpol-feature-store-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerFeatureStoreAccess
Diese Richtlinie gewährt die erforderlichen Berechtigungen, um den Offline-Shop für eine Amazon SageMaker Feature Store-Funktionsgruppe zu aktivieren.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `s3` – Ermöglicht es Prinzipalen, Daten in einen Amazon-S3-Bucket im Offline-Speicher zu schreiben. Diese Buckets sind auf solche beschränkt, deren Name "SageMaker„, „Sagemaker“ oder „Sagemaker“ enthält.
+ `s3` – Ermöglicht Prinzipalen das Lesen vorhandener Manifestdateien, die im `metadata` Ordner eines S3-Buckets eines Offline-Speichers gespeichert sind.
+ `glue`— Ermöglicht Prinzipalen das Lesen und Aktualisieren von AWS Glue-Tabellen. Diese Berechtigungen sind auf Tabellen im `sagemaker_featurestore` Ordner beschränkt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die von Amazon SageMaker Feature Store verwalteten Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Feature Store an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Seite mit dem SageMaker [AI-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.](doc-history.md)
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) – Aktualisierung auf eine bestehende Richtlinie | 3 | Fügen Sie `s3:GetObject`, `glue:GetTable` und `glue:UpdateTable` Berechtigungen hinzu. | 5. Dezember 2022 |
| AmazonSageMakerFeatureStoreAccess — Aktualisierung einer bestehenden Richtlinie | 2 | `s3:PutObjectAcl` Berechtigung hinzufügen. | 23. Februar 2021 |
| AmazonSageMakerFeatureStoreAccess - Neue Richtlinie | 1 | Ursprüngliche Politik | 1. Dezember 2020 |
# AWS verwaltete Richtlinien für Amazon SageMaker Geospatial
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von SageMaker Geodaten erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS verwaltete Richtlinie: AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Amazon SageMaker AI aktualisiert die von Amazon SageMaker Geospatial verwalteten Richtlinien](#security-iam-awsmanpol-geospatial-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerGeospatialFullAccess
Diese Richtlinie gewährt Berechtigungen, die den vollen Zugriff auf Amazon SageMaker Geospatial über das SDK AWS-Managementkonsole und ermöglichen.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker-geospatial`— Ermöglicht Prinzipalen vollen Zugriff auf alle SageMaker Geodatenressourcen.
+ `iam`— Ermöglicht Prinzipalen, eine IAM-Rolle an Geospatial zu übergeben. SageMaker
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerGeospatialExecutionRole
Diese Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von SageMaker Geodaten erforderlich sind.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `s3` – Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name "SageMaker„, „Sagemaker“ oder „Sagemaker“ enthält.
+ `sagemaker-geospatial` – Ermöglicht Prinzipalen den Zugriff auf Erdbeobachtungsaufträge über die `GetEarthObservationJob` API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die von Amazon SageMaker Geospatial verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für SageMaker Geodaten, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole) – Richtlinie aktualisieren | 2 | `sagemaker-geospatial:GetRasterDataCollection` Berechtigung hinzufügen. | 10. Mai 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess) – Neue Richtlinie | 1 | Ursprüngliche Politik | 30. November 2022 |
| AmazonSageMakerGeospatialExecutionRole - Neue Richtlinie | 1 | Ursprüngliche Politik | 30. November 2022 |
# AWS Verwaltete Richtlinien für Amazon SageMaker Ground Truth
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von SageMaker AI Ground Truth erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Ground Truth](#security-iam-awsmanpol-groundtruth-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerGroundTruthExecution
Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von SageMaker AI Ground Truth benötigt werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `lambda`— Ermöglicht Prinzipalen das Aufrufen von Lambda-Funktionen, deren Name „sagemaker“ (ohne Berücksichtigung von Groß- und Kleinschreibung), "„oder"“ enthält. GtRecipe LabelingFunction
+ `s3` – Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name ohne Berücksichtigung der Groß- und Kleinschreibung „groundtruth“ oder „sagemaker“ enthält oder deren Name mit "" gekennzeichnet ist. SageMaker
+ `cloudwatch`— Ermöglicht Prinzipalen das Posten von Metriken. CloudWatch
+ `logs` – Ermöglicht es Prinzipalen, Protokollstreams zu erstellen und auf Protokollereignisse zuzugreifen.
+ `sqs` – Ermöglicht Prinzipalen das Erstellen von Amazon SQS-Warteschlangen sowie das Senden und Empfangen von Amazon SQS-Nachrichten. Diese Berechtigungen sind auf Warteschlangen beschränkt, deren Name "" GroundTruth enthält.
+ `sns` – Ermöglicht Principals, Nachrichten zu Amazon SNS-Themen zu abonnieren und zu veröffentlichen, deren Name ohne Berücksichtigung der Groß- und Kleinschreibung „Groundtruth“ oder „Sagemaker“ enthält.
+ `ec2`— Ermöglicht Prinzipalen das Erstellen, Beschreiben und Löschen von Amazon VPC-Endpoints, deren VPC-Endpunkt-Servicename "sagemaker-task-resources" oder „Kennzeichnung“ enthält.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Ground Truth
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon SageMaker AI Ground Truth an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) – Aktualisierung auf eine bestehende Richtlinie | 3 | Fügen Sie `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` und `ec2:DeleteVpcEndpoints` Berechtigungen hinzu. | 29. April 2022 |
| AmazonSageMakerGroundTruthExecution - Aktualisierung einer bestehenden Richtlinie | 2 | Entfernen von `sqs:SendMessageBatch` Berechtigung. | 11. April 2022 |
| AmazonSageMakerGroundTruthExecution - Neue Richtlinie | 1 | Ursprüngliche Politik | 20. Juli 2020 |
# AWS verwaltete Richtlinien für Amazon SageMaker HyperPod
Die folgenden AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Nutzung von Amazon erforderlich sind SageMaker HyperPod. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole oder die mit dem HyperPod Service verknüpfte Rolle erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS verwaltete Richtlinie: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS verwaltete Richtlinie: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS verwaltete Richtlinie: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Amazon SageMaker AI-Updates für SageMaker HyperPod verwaltete Richtlinien](#security-iam-awsmanpol-hyperpod-updates)
# AWS verwaltete Richtlinie: AmazonSageMakerHyperPodTrainingOperatorAccess
Diese Richtlinie gewährt Administratorberechtigungen, die für die Einrichtung des SageMaker HyperPod Schulungsbetreibers erforderlich sind. Es ermöglicht den Zugriff auf SageMaker HyperPod und Amazon EKS-Add-Ons. Die Richtlinie beinhaltet Berechtigungen zur Beschreibung der SageMaker HyperPod Ressourcen in Ihrem Konto.
**Berechtigungsdetails**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `sagemaker:DescribeClusterNode`- Ermöglicht Benutzern, Informationen über einen HyperPod Cluster zurückzugeben.
Die Berechtigungen für diese Richtlinie finden Sie [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)in der Referenz zu AWS verwalteten Richtlinien.
# AWS verwaltete Richtlinie: AmazonSageMakerHyperPodObservabilityAdminAccess
Diese Richtlinie bietet Administratorrechte, die für die Einrichtung von Amazon SageMaker HyperPod Observability erforderlich sind. Es ermöglicht den Zugriff auf Amazon Managed Service für die Add-Ons Prometheus, Amazon Managed Grafana und Amazon Elastic Kubernetes Service. Die Richtlinie beinhaltet auch einen umfassenden Zugriff auf Grafana-HTTP APIs ServiceAccountTokens über alle Amazon Managed Grafana-Workspaces in Ihrem Konto.
**Berechtigungsdetails**
Die folgende Liste bietet einen Überblick über die Berechtigungen, die in dieser Richtlinie enthalten sind.
+ `prometheus` – WorkBereiche und Regelgruppen von Amazon Managed Service für Prometheus erstellen und verwalten
+ `grafana` – Erstellt und verwaltet Amazon Managed Grafana-WorkBereiche und -Servicekonten
+ `eks` – Erstellt und verwaltet das `amazon-sagemaker-hyperpod-observability` Amazon EKS-Add-on
+ `iam` – Übergibt bestimmte IAM-Servicerollen an Amazon Managed Grafana und Amazon EKS
+ `sagemaker`— Listet Cluster auf und beschreibt sie SageMaker HyperPod
+ `sso` – Erstellt und verwaltet IAM Identity Center-AnwendungsInstances für das Amazon Managed Grafana-Setup
+ `tag` – Schlagworte Amazon Managed Service für Prometheus, Amazon Managed Grafana und Amazon EKS
Informationen zum Richtlinien-JSON finden Sie unter [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS verwaltete Richtlinie: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod erstellt und verwendet die mit dem Dienst verknüpfte Rolle `AWSServiceRoleForSageMakerHyperPod` mit dem Namen, der `AmazonSageMakerHyperPodServiceRolePolicy` an die Rolle angehängt ist. Diese Richtlinie gewährt Amazon SageMaker HyperPod Berechtigungen für verwandte AWS Dienste wie Amazon EKS und Amazon CloudWatch.
Die serviceverknüpfte Rolle SageMaker HyperPod erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. SageMaker HyperPod definiert die Berechtigungen ihrer dienstbezogenen Rollen und SageMaker HyperPod kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre SageMaker HyperPod Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Das `AmazonSageMakerHyperPodServiceRolePolicy` ermöglicht es SageMaker HyperPod , die folgenden Aktionen an den angegebenen Ressourcen in Ihrem Namen durchzuführen.
**Details zu Berechtigungen**
Diese serviceverknüpfte Rollenrichtlinie umfasst die folgenden Berechtigungen.
+ `eks` – Ermöglicht Prinzipalen das Lesen von Amazon Elastic Kubernetes Service (EKS) Clusterinformationen.
+ `logs`— Ermöglicht es Prinzipalen, CloudWatch Amazon-Log-Streams zu `/aws/sagemaker/Clusters` veröffentlichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellung einer serviceverknüpften Rolle für SageMaker HyperPod
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie mit der SageMaker AI-Konsole einen SageMaker HyperPod Cluster erstellen, SageMaker HyperPod erstellt der AWS CLI, oder der AWS SDKs, die serviceverknüpfte Rolle für Sie.
Wenn Sie diese dienstverknüpfte Rolle löschen, sie aber erneut erstellen müssen, können Sie denselben Vorgang (einen neuen SageMaker HyperPod Cluster erstellen) verwenden, um die Rolle in Ihrem Konto neu zu erstellen.
## Bearbeiten einer dienstbezogenen Rolle für SageMaker HyperPod
SageMaker HyperPod erlaubt es Ihnen nicht, die `AWSServiceRoleForSageMakerHyperPod` dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für SageMaker HyperPod
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Um SageMaker HyperPod Clusterressourcen mithilfe der dienstverknüpften Rolle zu löschen**
Verwenden Sie eine der folgenden Optionen, um SageMaker HyperPod Clusterressourcen zu löschen.
+ [Löschen Sie einen SageMaker HyperPod Cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) mithilfe der SageMaker AI-Konsole
+ [Löschen Sie einen SageMaker HyperPod Cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) mit dem AWS CLI
**Anmerkung**
Wenn der SageMaker HyperPod Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die `AWSServiceRoleForSageMakerHyperPod` dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen SageMaker HyperPod
SageMaker HyperPod unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [Voraussetzungen für SageMaker HyperPod](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html).
# AWS verwaltete Richtlinie: AmazonSageMakerClusterInstanceRolePolicy
Diese Richtlinie gewährt Berechtigungen, die üblicherweise für die Nutzung von Amazon erforderlich sind SageMaker HyperPod.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `cloudwatch`— Ermöglicht Principals, CloudWatch Amazon-Metriken zu veröffentlichen.
+ `logs`— Ermöglicht Prinzipalen die Veröffentlichung von CloudWatch Log-Streams.
+ `s3` – Ermöglicht Prinzipalen, Lebenszyklus-Skriptdateien aus einem Amazon-S3-Bucket in Ihrem Konto aufzulisten und abzurufen. Diese Buckets sind auf Objekte beschränkt, deren Name mit „sagemaker-“ beginnt.
+ `ssmmessages` – Ermöglicht Prinzipalen, eine Verbindung zu herzustellen. AWS Systems Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Amazon SageMaker AI-Updates für SageMaker HyperPod verwaltete Richtlinien
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien, die SageMaker HyperPod seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite mit dem SageMaker [AI-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.](doc-history.md)
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) – Neue Richtlinie | 1 | Ursprüngliche Politik | 22. August 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) – Richtlinie aktualisieren | 2 | Die Richtlinie wurde aktualisiert, um den Rollenbereich zu korrigieren und das Präfix einzubeziehen. `service-role` Außerdem wurden Berechtigungen für `eks:DeletePodIdentityAssociation` und `eks:UpdatePodIdentityAssociation` für end-to-end administrative Aktionen hinzugefügt. | 19. August 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) – Neue Richtlinie | 1 | Ursprüngliche Politik | 10. Juli 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) – Neue Richtlinie | 1 | Ursprüngliche Politik | 9. September 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) – Neue Richtlinie | 1 | Ursprüngliche Politik | 29. November 2023 |
# AWS Verwaltete Richtlinien für SageMaker KI-Modell-Governance
Diese AWS verwaltete Richtlinie fügt Berechtigungen hinzu, die für die Verwendung von SageMaker AI Model Governance erforderlich sind. Die Richtlinie ist in Ihrem AWS Konto verfügbar und wird von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [Amazon SageMaker AI aktualisiert die verwalteten Richtlinien für SageMaker KI Model Governance](#security-iam-awsmanpol-governance-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerModelGovernanceUseAccess
Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die für die Nutzung aller Amazon SageMaker AI Governance-Funktionen erforderlich sind. Die Richtlinie ist in Ihrem AWS Konto verfügbar.
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `s3` – Ruft Objekte aus Amazon S3 ab Abrufbare Objekte sind auf Objekte beschränkt, deren Name die Zeichenfolge `"sagemaker"` ohne Berücksichtigung der Groß- und Kleinschreibung enthält.
+ `kms`— Listet die AWS KMS Schlüssel auf, die für die Inhaltsverschlüsselung verwendet werden sollen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die verwalteten Richtlinien für SageMaker KI Model Governance
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für SageMaker AI Model Governance seit Beginn der Erfassung dieser Änderungen durch diesen Service. Abonnieren Sie den RSS-Feed auf der Seite mit dem SageMaker [AI-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.](doc-history.md)
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) – Aktualisierung auf eine bestehende Richtlinie | 3 | Aussage hinzufügen IDs (`Sid`). | 4. Juni 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Aktualisieren Sie eine bestehende Richtlinie | 2 | Die Berechtigungen `sagemaker:DescribeModelPackage` und `DescribeModelPackageGroup` hinzufügen. | 17. Juli 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Neue Richtlinie | 1 | Ursprüngliche Politik | 30. November 2022 |
# AWS Verwaltete Richtlinien für Model Registry
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von Model Registry erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die Amazon SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von Model Registry](#security-iam-awsmanpol-model-registry-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerModelRegistryFullAccess
Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die für die Nutzung aller Model Registry-Funktionen innerhalb einer Amazon SageMaker AI-Domain erforderlich sind. Diese Richtlinie wird einer Ausführungsrolle zugewiesen, wenn Model Registry-Einstellungen konfiguriert werden, um Model Registry-Berechtigungen zu aktivieren.
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `ecr` – Ermöglicht Prinzipalen das Abrufen von Informationen, einschließlich Metadaten, zu Amazon Elastic Container Registry (Amazon ECR)-Images.
+ `iam`— Ermöglicht Principals, die Ausführungsrolle an den Amazon SageMaker AI-Service zu übergeben.
+ `resource-groups`— Ermöglicht Prinzipalen das Erstellen, Auflisten, Markieren und Löschen. AWS -Ressourcengruppen
+ `s3` – Ermöglicht Prinzipalen das Abrufen von Objekten aus Amazon Simple Storage Service (Amazon S3) -Buckets, in denen Modellversionen gespeichert sind. Abrufbare Objekte sind auf Objekte beschränkt, deren Name ohne Berücksichtigung der Groß- und Kleinschreibung die Zeichenfolge `"sagemaker"` enthält.
+ `sagemaker`— Ermöglicht Prinzipalen das Katalogisieren, Verwalten und Bereitstellen von Modellen mithilfe der SageMaker Model Registry.
+ `kms`— Erlaubt nur dem SageMaker AI-Dienstprinzipal, einen Zuschuss hinzuzufügen, Datenschlüssel zu generieren, Schlüssel zu entschlüsseln und zu lesen, und zwar nur AWS KMS Schlüssel, die für die Verwendung in „Sagemaker“ gekennzeichnet sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von Model Registry
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Model Registry an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Seite mit dem SageMaker [AI-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.](doc-history.md)
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) – Aktualisierung auf eine bestehende Richtlinie | 2 | Fügen Sie die Berechtigungen `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` und `kms:Decrypt` hinzu. | 6. Juni 2024 |
| AmazonSageMakerModelRegistryFullAccess - Neue Richtlinie | 1 | Ursprüngliche Politik | 12. April 2023 |
# AWS Verwaltete Richtlinien für SageMaker Notebooks
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von SageMaker Notebooks erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerNotebooksServiceRolePolicy
Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von Amazon SageMaker Notebooks benötigt werden. Die Richtlinie wird zu der Richtlinie hinzugefügt`AWSServiceRoleForAmazonSageMakerNotebooks`, die beim Onboarding von Amazon SageMaker Studio Classic erstellt wurde. Weitere Informationen zu dienstgebundenen Rollen finden Sie unter [Service-verknüpfte Rollen](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Weitere Informationen finden Sie unter [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `elasticfilesystem` – Ermöglicht Prinzipalen das Erstellen und Löschen von Amazon Elastic File System (EFS) -Dateisystemen, Access Points und Mount-Zielen. Diese sind auf diejenigen beschränkt, die mit dem Schlüssel gekennzeichnet sind *ManagedByAmazonSageMakerResource*. Ermöglicht Prinzipalen die Beschreibung aller EFS-Dateisysteme, Access Points und Mount-Ziele. Ermöglicht Prinzipalen, Tags für EFS-Zugriffspunkte und Mount-Ziele zu erstellen oder zu überschreiben.
+ `ec2` – Ermöglicht Prinzipalen das Erstellen von Netzwerkschnittstellen und Sicherheitsgruppen für Amazon Elastic Compute Cloud (EC2)-Instances. Außerdem können Prinzipale Tags für diese Ressourcen erstellen und überschreiben.
+ `sso` – Ermöglicht Prinzipalen das Hinzufügen und Löschen von verwalteten Anwendungs-Instances zu AWS IAM Identity Center.
+ `sagemaker`— Ermöglicht Prinzipalen das Erstellen und Lesen von SageMaker KI-Benutzerprofilen und SageMaker KI-Bereichen, das Löschen von SageMaker KI-Bereichen und SageMaker KI-Apps sowie das Hinzufügen und Auflisten von Tags.
+ `fsx`— Ermöglicht Prinzipalen, das Amazon FSx for Lustre-Dateisystem zu beschreiben und die Metadaten zu verwenden, um es auf dem Notebook zu mounten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Notebooks
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon SageMaker AI an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | 10 | `fsx:DescribeFileSystems` Berechtigung hinzufügen. | 14. November 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | 9 | `sagemaker:DeleteApp` Berechtigung hinzufügen. | 24. Juli 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie | 8 | Fügen Sie `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` und `sagemaker:AddTags` Berechtigungen hinzu. | 22. Mai 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie | 7 | `elasticfilesystem:TagResource` Berechtigung hinzufügen. | 9. März 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie | 6 | Fügen Sie `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` und `elasticfilesystem:DescribeAccessPoints` Berechtigungen hinzu. | 12. Januar 2023 |
| | | SageMaker AI hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 1. Juni 2021 |
# AWS verwaltete Richtlinien für Amazon SageMaker Partner AI Apps
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Nutzung von Amazon SageMaker Partner AI Apps erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Amazon SageMaker AI aktualisiert die verwalteten Richtlinien für Partner AI Apps](#security-iam-awsmanpol-partner-apps-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerPartnerAppsFullAccess
Ermöglicht vollen administrativen Zugriff auf Amazon SageMaker Partner AI Apps.
**Details zu Berechtigungen**
Diese AWS verwaltete Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker`— Erlaubt Benutzern der Amazon SageMaker Partner AI App, auf Anwendungen zuzugreifen, verfügbare Anwendungen aufzulisten, das Anwendungsweb UIs zu starten und mithilfe des Anwendungs-SDK eine Verbindung herzustellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die verwalteten Richtlinien für Partner AI Apps
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Partner-KI-Apps an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Seite mit dem SageMaker [AI-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.](doc-history.md)
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Neue Richtlinie | 1 | Ursprüngliche Politik | 17. Januar 2025 |
# AWS Verwaltete Richtlinien für SageMaker Pipelines
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von SageMaker Pipelines erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Pipelines](#security-iam-awsmanpol-pipelines-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerPipelinesIntegrations
Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die häufig für die Verwendung von Callback-Schritten und Lambda-Schritten in SageMaker Pipelines erforderlich sind. Die Richtlinie wird zu der Richtlinie hinzugefügt`AmazonSageMaker-ExecutionRole`, die beim Onboarding von Amazon SageMaker Studio Classic erstellt wurde. Die Richtlinie kann an jede Rolle angehängt werden, die für die Erstellung oder Ausführung einer Pipeline verwendet wird.
Diese Richtlinie gewährt die entsprechenden AWS Lambda-, Amazon Simple Queue Service (Amazon SQS) -, Amazon- und IAM-Berechtigungen EventBridge, die für den Aufbau von Pipelines erforderlich sind, die Lambda-Funktionen aufrufen oder Callback-Schritte enthalten, die für manuelle Genehmigungsschritte oder die Ausführung benutzerdefinierter Workloads verwendet werden können.
Mit den Amazon SQS-Berechtigungen können Sie die Amazon SQS-Warteschlange erstellen, die für den Empfang von Rückrufnachrichten erforderlich ist, und auch Nachrichten an diese Warteschlange senden.
Mit den Lambda-Berechtigungen können Sie die in den Pipeline-Schritten verwendeten Lambda-Funktionen erstellen, lesen, aktualisieren und löschen sowie diese Lambda-Funktionen aufrufen.
Diese Richtlinie gewährt die Amazon EMR-Berechtigungen, die für die Ausführung eines Amazon EMR-Schritts in der Pipeline erforderlich sind.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `elasticmapreduce` – Schritte in einem laufenden Amazon EMR-Cluster lesen, hinzufügen und abbrechen. Lesen, erstellen und beenden Sie einen neuen Amazon EMR-Cluster.
+ `events`— Lesen, Erstellen, Aktualisieren und Hinzufügen von Zielen zu einer Regel mit dem Namen und. EventBridge `SageMakerPipelineExecutionEMRStepStatusUpdateRule` `SageMakerPipelineExecutionEMRClusterStatusUpdateRule`
+ `iam`— Übergeben Sie eine IAM-Rolle an den AWS Lambda-Service, Amazon EMR und Amazon EC2.
+ `lambda` – Lambda-Funktionen erstellen, lesen, aktualisieren, löschen und aufrufen. Diese Berechtigungen sind auf Funktionen beschränkt, deren Name „Sagemaker“ enthält.
+ `sqs` – Erstellen Sie eine SQS-Warteschlange; Senden Sie eine Amazon SQS-Nachricht. Diese Berechtigungen sind auf Warteschlangen beschränkt, deren Name „Sagemaker“ enthält.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Pipelines
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon SageMaker AI an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) – Aktualisierung auf eine bestehende Richtlinie | 3 | Es wurden Berechtigungen für `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows` ,`elasticmapreduce:ListSteps` und `elasticmapreduce:DescribeCluster` hinzugefügt. | 17. Februar 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) – Aktualisierung auf eine bestehende Richtlinie | 2 | Es wurden Berechtigungen für `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`,`elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps`, und `elasticmapreduce:DescribeStep` hinzugefügt. | 20. April 2022 |
| AmazonSageMakerPipelinesIntegrations - Neue Richtlinie | 1 | Ursprüngliche Politik | 30. Juli 2021 |
# AWS verwaltete Richtlinien für SageMaker Ausbildungspläne
Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die für die Erstellung und Verwaltung von SageMaker Amazon-Schulungsplänen und reservierten Kapazitäten in SageMaker KI erforderlich sind. Die Richtlinie kann an IAM-Rollen angehängt werden, die für die Erstellung und Verwaltung von Schulungsplänen und reservierten Kapazitäten innerhalb von SageMaker KI verwendet werden, einschließlich Ihrer [SageMaker KI-Ausführungsrolle](sagemaker-roles.md).
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [Amazon SageMaker AI aktualisiert SageMaker Trainingspläne und verwaltete Richtlinien](#security-iam-awsmanpol-training-plan-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerTrainingPlanCreateAccess
Diese Richtlinie bietet die erforderlichen Berechtigungen zum Erstellen, Beschreiben, Suchen und Auflisten von Trainingsplänen in SageMaker KI. Darüber hinaus ermöglicht sie das Hinzufügen von Tags zu Trainingsplänen und reservierten Kapazitätsressourcen unter bestimmten Bedingungen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker` – Das Erstellen von Trainingsplänen und reservierter Kapazität ermöglicht das Hinzufügen von Tags zu Trainingsplänen und reservierter Kapazität, wenn die Tagging-Aktion spezifisch ist`CreateReservedCapacity`, `CreateTrainingPlan` oder ermöglicht die Beschreibung von Schulungsplänen, ermöglicht die Suche nach Schulungsplanangeboten und das Auflisten vorhandener Trainingspläne für alle Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI aktualisiert SageMaker Trainingspläne und verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon SageMaker AI an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - aktualisierte Richtlinie | 2 | Die Richtlinie wurde aktualisiert und bietet nun zusätzliche Berechtigungen zum Abrufen von Informationen über eine bestimmte reservierte Kapazität und zum Auflisten aller Daten UltraServers in einer reservierten Kapazität. | 29. Juli 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Neue Richtlinie | 1 | Ursprüngliche Politik | 4. Dezember 2024 |
# AWS Verwaltete Richtlinien für SageMaker Projekte und JumpStart
Diese AWS verwalteten Richtlinien fügen Berechtigungen zur Verwendung integrierter Amazon SageMaker AI-Projektvorlagen und JumpStart -lösungen hinzu. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
SageMaker Projekte und JumpStart verwenden AWS Service Catalog, um AWS Ressourcen in Kundenkonten bereitzustellen. Einige erstellte Ressourcen müssen eine Ausführungsrolle übernehmen. Wenn AWS Service Catalog beispielsweise im Auftrag eines Kunden eine CodePipeline Pipeline für ein SageMaker CI/CD KI-Machine-Learning-Projekt erstellt, benötigt diese Pipeline eine IAM-Rolle.
Die [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)Rolle verfügt über die erforderlichen Berechtigungen, um das SageMaker KI-Produktportfolio aus AWS Service Catalog zu starten. Die [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)Rolle verfügt über die erforderlichen Berechtigungen, um das SageMaker KI-Produktportfolio aus AWS Service Catalog zu verwenden. Die `AmazonSageMakerServiceCatalogProductsLaunchRole` Rolle übergibt eine `AmazonSageMakerServiceCatalogProductsUseRole` Rolle an die bereitgestellten AWS Service Catalog-Produktressourcen.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Richtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsEventsServiceRole Richtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Richtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS verwaltete Richtlinie: Richtlinie AmazonSageMakerServiceCatalogProductsGlueServiceRole](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Richtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [Amazon SageMaker AI aktualisiert die AWS verwalteten Richtlinien von AWS Service Catalog](#security-iam-awsmanpol-sc-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Diese Servicerollenrichtlinie wird vom AWS Service Catalog Service verwendet, um Produkte aus dem Amazon SageMaker AI-Portfolio bereitzustellen. Die Richtlinie gewährt Berechtigungen für eine Reihe verwandter AWS Dienste AWS CodePipeline, darunter AWS CodeBuild AWS CodeCommit, AWS CloudFormation, AWS Glue und andere.
Die `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` Richtlinie soll von der `AmazonSageMakerServiceCatalogProductsLaunchRole` Rolle verwendet werden, die über die SageMaker AI-Konsole erstellt wurde. Die Richtlinie fügt dem Konto eines Kunden Berechtigungen zur Bereitstellung von AWS Ressourcen für SageMaker Projekte und zur JumpStart Nutzung des Servicekatalogs hinzu.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `apigateway` – Ermöglicht der Rolle, API-Gateway-Endpunkte aufzurufen, die mit `sagemaker:launch-source` gekennzeichnet sind.
+ `cloudformation`— Ermöglicht AWS Service Catalog das Erstellen, Aktualisieren und Löschen von CloudFormation Stacks. Ermöglicht Service Catalog auch, Ressourcen zu kennzeichnen und die Markierung aufzuheben.
+ `codebuild`— Ermöglicht der Rolle, die von übernommen AWS Service Catalog und an die sie übergeben wurde, CodeBuild Projekte CloudFormation zu erstellen, zu aktualisieren und zu löschen.
+ `codecommit`— Erlaubt der Rolle, die von übernommen AWS Service Catalog und an sie übergeben wurde, CodeCommit Repositorys CloudFormation zu erstellen, zu aktualisieren und zu löschen.
+ `codepipeline`— Ermöglicht der Rolle, die von angenommen AWS Service Catalog und an die übergeben wurde CloudFormation , das Erstellen, Aktualisieren und Löschen CodePipelines.
+ `codeconnections`, `codestar-connections` — Ermöglicht auch das Weitergeben der Rolle AWS CodeConnections und AWS CodeStar Verbindungen.
+ `cognito-idp` – Ermöglicht der Rolle das Erstellen, Aktualisieren und Löschen von Gruppen und Benutzerpools. Ermöglicht auch das Markieren von Ressourcen.
+ `ecr`— Ermöglicht der Rolle, die von angenommen AWS Service Catalog und an sie übergeben wurde, Amazon ECR-Repositorys CloudFormation zu erstellen und zu löschen. Ermöglicht auch das Markieren von Ressourcen.
+ `events`— Ermöglicht der Rolle, die von angenommen AWS Service Catalog und an sie übergeben wurde, Regeln CloudFormation zu erstellen und zu löschen EventBridge . Wird verwendet, um die verschiedenen Komponenten der CICD-Pipeline miteinander zu verbinden.
+ `firehose` – ermöglicht es der Rolle, mit Firehose-Streams zu interagieren.
+ `glue`— Ermöglicht der Rolle die Interaktion mit AWS Glue.
+ `iam` – Ermöglicht es der Rolle, Rollen mit dem Präfix `AmazonSageMakerServiceCatalog`. Dies ist erforderlich, wenn Projects ein AWS Service Catalog Produkt bereitstellt, da eine Rolle an AWS Service Catalogübergeben werden muss.
+ `lambda` – Ermöglicht der Rolle die Interaktion mit AWS Lambda. Ermöglicht auch das Markieren von Ressourcen.
+ `logs` – Ermöglicht der Rolle, Protokollstreams zu erstellen, zu löschen und darauf zuzugreifen.
+ `s3`— Ermöglicht der Rolle, die von angenommen AWS Service Catalog und an sie übergeben wurde, CloudFormation den Zugriff auf Amazon S3 S3-Buckets, in denen der Projektvorlagencode gespeichert ist.
+ `sagemaker`— Ermöglicht der Rolle die Interaktion mit verschiedenen SageMaker KI-Diensten. Dies erfolgt sowohl CloudFormation während der Vorlagenbereitstellung als auch während der Ausführung CodeBuild der CICD-Pipeline. Ermöglicht auch das Markieren der folgenden Ressourcen: Endpunkte, Endpunktkonfigurationen, Modelle, Pipelines, Projekte und Modellpakete.
+ `states` – Ermöglicht der Rolle das Erstellen, Löschen und Aktualisieren von Schrittfunktionen mit dem Präfix `sagemaker`.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) in der Referenz für AWS verwaltete Richtlinien.
## AWS verwaltete Richtlinie: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Diese Richtlinie wird von Amazon API Gateway innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)von API Gateway erstellten AWS Ressourcen weitergegeben wird, für die eine Rolle erforderlich ist.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `lambda` – Ruft eine Funktion auf, die mit einer Partnervorlage erstellt wurde.
+ `sagemaker` – Ruft einen Endpunkt auf, der durch eine Partnervorlage erstellt wurde.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Diese Richtlinie wird AWS CloudFormation innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die AWS Ressourcen [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)weitergegeben wird, CloudFormation die von dieser Rolle erstellt wurden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam` – Übergibt `AmazonSageMakerServiceCatalogProductsLambdaRole` und `AmazonSageMakerServiceCatalogProductsApiGatewayRole` Rollen.
+ `lambda`— AWS Lambda Funktionen erstellen, aktualisieren, löschen und aufrufen; Versionen einer Lambda-Schicht abrufen, veröffentlichen und löschen.
+ `apigateway` – Amazon API Gateway Gateway-Ressourcen erstellen, aktualisieren und löschen.
+ `s3` – Rufen Sie die `lambda-auth-code/layer.zip` Datei aus einem Amazon Simple Storage Service (Amazon S3) -Bucket ab.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Diese Richtlinie wird AWS Lambda innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)von Lambda erstellten AWS Ressourcen weitergegeben wird, für die eine Rolle erforderlich ist.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `secretsmanager` – Ruft Daten aus vom Partner bereitgestellten Geheimnissen für eine Partnervorlage ab.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Diese Richtlinie wird von Amazon API Gateway innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)von API Gateway erstellten AWS Ressourcen weitergegeben wird, für die eine Rolle erforderlich ist.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `logs`— CloudWatch Loggruppen, Streams und Ereignisse erstellen und lesen; Ereignisse aktualisieren; verschiedene Ressourcen beschreiben.
Diese Berechtigungen sind auf Ressourcen beschränkt, deren Protokollgruppenpräfix mit „aws/apigateway/“ beginnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Richtlinie
Diese Richtlinie wird AWS CloudFormation innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die AWS Ressourcen [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)weitergegeben wird, CloudFormation die von dieser Rolle erstellt wurden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker`— Erlaubt den Zugriff auf verschiedene SageMaker KI-Ressourcen mit Ausnahme von Domänen, Benutzerprofilen, Apps und Flow-Definitionen.
+ `iam` – Übergeben Sie `AmazonSageMakerServiceCatalogProductsCodeBuildRole` und `AmazonSageMakerServiceCatalogProductsExecutionRole` Rollen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Diese Richtlinie wird AWS CodeBuild innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die AWS Ressourcen [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)weitergegeben wird, CodeBuild die von dieser Rolle erstellt wurden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker`— Erlaubt den Zugriff auf verschiedene SageMaker KI-Ressourcen.
+ `codecommit`— Laden Sie CodeCommit Archive in CodeBuild Pipelines hoch, rufen Sie den Upload-Status ab und brechen Sie Uploads ab. Rufen Sie Branch- und Commit-Informationen ab. Diese Berechtigungen sind auf Ressourcen beschränkt, deren Name mit „sagemaker-“ beginnt.
+ `ecr` – Erstellen Sie Amazon ECR-Repositorys und Container-Images; laden Sie Bildebenen hoch. Diese Berechtigungen sind auf Repositorys beschränkt, deren Name mit „sagemaker-“ beginnt.
`ecr` – Lesen Sie alle Ressourcen.
+ `iam` – Übernehmen Sie die folgenden Rollen:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`zu. AWS CloudFormation
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`zu AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`zu AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`zu Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`zu Amazon SageMaker AI.
+ `logs`— CloudWatch Loggruppen, Streams und Ereignisse erstellen und lesen; Ereignisse aktualisieren; verschiedene Ressourcen beschreiben.
Diese Berechtigungen sind auf Ressourcen beschränkt, deren Namenspräfix mit „aws/codebuild/“ beginnt.
+ `s3`– Erstellen, Lesen und Auflisten von Amazon-S3-Buckets Diese Berechtigungen sind auf Buckets beschränkt, deren Name mit „sagemaker-“ beginnt.
+ `codeconnections`, `codestar-connections` — Verwendung AWS CodeConnections und AWS CodeStar Verbindungen.
Die Berechtigungen für diese Richtlinie finden Sie [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)in der Referenz zu AWS verwalteten Richtlinien.
## AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Diese Richtlinie wird AWS CodePipeline innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die AWS Ressourcen [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)weitergegeben wird, CodePipeline die von dieser Rolle erstellt wurden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `cloudformation`— CloudFormation Stacks erstellen, lesen, löschen und aktualisieren; Änderungssätze erstellen, lesen, löschen und ausführen; Stack-Richtlinien festlegen; Ressourcen taggen und enttaggen. Diese Berechtigungen sind auf Ressourcen beschränkt, deren Name mit „sagemaker-“ beginnt.
+ `s3` – Amazon-S3-Buckets erstellen, lesen, auflisten und löschen; Objekte aus den Buckets hinzufügen, lesen und löschen; die CORS-Konfiguration lesen und einrichten; die Zugriffssteuerungsliste (ACL) lesen; und die AWS -Region lesen, in der sich der Bucket befindet.
Diese Berechtigungen sind auf Buckets beschränkt, deren Name mit „sagemaker-“ oder „aws-glue-“ beginnt.
+ `iam` – Übergeben Sie die `AmazonSageMakerServiceCatalogProductsCloudformationRole` Rolle.
+ `codebuild`— Holen Sie sich CodeBuild Build-Informationen und starten Sie Builds. Diese Berechtigungen sind auf Projekt- und Build-Ressourcen beschränkt, deren Name mit „sagemaker-“ beginnt.
+ `codecommit`— Laden Sie CodeCommit Archive in CodeBuild Pipelines hoch, rufen Sie den Upload-Status ab und brechen Sie Uploads ab. Rufen Sie Branch- und Commit-Informationen ab.
+ `codeconnections`, `codestar-connections` — Verwendung AWS CodeConnections und AWS CodeStar Verbindungen.
Die Berechtigungen für diese Richtlinie finden Sie [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)in der Referenz zu AWS verwalteten Richtlinien.
## AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsEventsServiceRole Richtlinie
Diese Richtlinie wird von Amazon EventBridge innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die AWS Ressourcen [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)weitergegeben wird, EventBridge die von dieser Rolle erstellt wurden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `codepipeline`— Startet eine CodeBuild Ausführung. Diese Berechtigungen sind auf Pipelines beschränkt, deren Name mit „sagemaker-“ beginnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Richtlinie
Diese Richtlinie wird von Amazon Data Firehose innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)von Firehose erstellten AWS Ressourcen weitergegeben wird, für die eine Rolle erforderlich ist.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `firehose` – Firehose senden. Diese Berechtigungen sind auf Ressourcen beschränkt, deren Name für den Delivery-Stream mit „sagemaker-“ beginnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS verwaltete Richtlinie: Richtlinie AmazonSageMakerServiceCatalogProductsGlueServiceRole
Diese Richtlinie wird von AWS Glue innerhalb der vom AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)von Glue erstellten AWS Ressourcen weitergegeben wird, für die eine Rolle erforderlich ist.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `glue`— Erstellen, Lesen und Löschen von AWS Glue-Partitionen, -Tabellen und Tabellenversionen. Diese Berechtigungen sind auf die Ressourcen beschränkt, deren Name mit „sagemaker-“ beginnt. Erstellen und lesen Sie AWS Glue-Datenbanken. Diese Berechtigungen sind auf Datenbanken beschränkt, deren Name „default“, „global\$1temp“ ist oder mit „sagemaker-“ beginnt. Benutzerdefinierte SQL-Funktionen
+ `s3` – Amazon-S3-Buckets erstellen, lesen, auflisten und löschen; Objekte aus den Buckets hinzufügen, lesen und löschen; die CORS-Konfiguration lesen und einrichten; die Zugriffssteuerungsliste (ACL) lesen und die AWS -Region lesen, in der sich der Bucket befindet.
Diese Berechtigungen sind auf Buckets beschränkt, deren Name mit „sagemaker-“ oder „aws-glue-“ beginnt.
+ `logs`— Logs, CloudWatch Protokollgruppen, Streams und Lieferungen erstellen, lesen und löschen und eine Ressourcenrichtlinie erstellen.
Diese Berechtigungen sind auf Ressourcen beschränkt, deren Namenspräfix mit „aws/glue/“ beginnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Richtlinie
Diese Richtlinie wird AWS Lambda innerhalb der AWS Service Catalog bereitgestellten Produkte aus dem Amazon SageMaker AI-Portfolio verwendet. Die Richtlinie soll an eine IAM-Rolle angehängt werden, die dann an die [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)von Lambda erstellten AWS Ressourcen weitergegeben wird, für die eine Rolle erforderlich ist.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `sagemaker`— Erlaubt den Zugriff auf verschiedene SageMaker KI-Ressourcen.
+ `ecr` – Amazon ECR-Repositorys erstellen und löschen; Container-Images erstellen, lesen und löschen; Bildebenen hochladen. Diese Berechtigungen sind auf Repositorys beschränkt, deren Name mit „sagemaker-“ beginnt.
+ `events`— EventBridge Amazon-Regeln erstellen, lesen und löschen sowie Ziele erstellen und entfernen. Diese Berechtigungen sind auf Regeln beschränkt, deren Name mit „sagemaker-“ beginnt.
+ `s3` – Amazon-S3-Buckets erstellen, lesen, auflisten und löschen; Objekte aus den Buckets hinzufügen, lesen und löschen; die CORS-Konfiguration lesen und einrichten; die Zugriffssteuerungsliste (ACL) lesen und die AWS -Region lesen, in der sich der Bucket befindet.
Diese Berechtigungen sind auf Buckets beschränkt, deren Name mit „sagemaker-“ oder „aws-glue-“ beginnt.
+ `iam` – Übergeben Sie die `AmazonSageMakerServiceCatalogProductsExecutionRole` Rolle.
+ `logs`— Logs, CloudWatch Protokollgruppen, Streams und Lieferungen erstellen, lesen und löschen und eine Ressourcenrichtlinie erstellen.
Diese Berechtigungen sind auf Ressourcen beschränkt, deren Namenspräfix mit „aws/lambda/“ beginnt.
+ `codebuild`— Starten Sie und erhalten Sie Informationen zu AWS CodeBuild Builds.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die AWS verwalteten Richtlinien von AWS Service Catalog
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon SageMaker AI an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) – Richtlinie aktualisieren | 10 | Aktualisiert `codestar-connections:PassConnection` und `codeconnections:PassConnection` Berechtigungen. | 27. September 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy) – Richtlinie aktualisieren | 3 | Aktualisiert `codestar-connections:UseConnection` und `codeconnections:UseConnection` Genehmigungen. | 27. September 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy) – Richtlinie aktualisieren | 3 | Aktualisiert `codestar-connections:UseConnection` und `codeconnections:UseConnection` Genehmigungen. | 27. September 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) – Richtlinie aktualisieren | 9 | Fügen Sie `cloudformation:TagResource`, `cloudformation:UntagResource` und `codeconnections:PassConnection` Berechtigungen hinzu. | 1. Juli 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Aktualisierte Richtlinie | 7 | Setzen Sie die Richtlinie auf Version 7 (v7) zurück. Entfernen Sie `cloudformation:TagResource` die `codeconnections:PassConnection` Berechtigungen`cloudformation:UntagResource`, und. | 12. Juni 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Aktualisierte Richtlinie | 8 | Fügen Sie `cloudformation:TagResource`, `cloudformation:UntagResource` und `codeconnections:PassConnection` Berechtigungen hinzu. | 11. Juni 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy) – Richtlinie aktualisieren | 2 | Die Berechtigungen `codestar-connections:UseConnection` und `codeconnections:UseConnection` hinzufügen. | 11. Juni 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy) – Richtlinie aktualisieren | 2 | Fügen Sie die Berechtigungen `cloudformation:TagResource` `cloudformation:UntagResource`, `codestar-connections:UseConnection` und `codeconnections:UseConnection` hinzu. | 11. Juni 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRoleRichtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy) – Richtlinie aktualisieren | 2 | Die Berechtigungen `codebuild:StartBuild` und `codebuild:BatchGetBuilds` hinzufügen. | 11. Juni 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Ursprüngliche Politik | 1. August 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Ursprüngliche Politik | 1. August 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Ursprüngliche Politik | 1. August 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRoleRichtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy) – Richtlinie aktualisieren | 2 | Berechtigung zu `glue:GetUserDefinedFunctions` hinzufügen. | 26. August 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Aktualisierte Richtlinie | 7 | Berechtigung zu `sagemaker:AddTags` hinzufügen. | 02.August 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Aktualisierte Richtlinie | 6 | Berechtigung zu `lambda:TagResource` hinzufügen. | 14. Juli 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRoleRichtlinie | 1 | Ursprüngliche Politik | 4. April 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Ursprüngliche Politik | 24. März 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRoleRichtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Ursprüngliche Politik | 24. März 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Ursprüngliche Politik | 24. März 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Aktualisierte Richtlinie | 5 | Berechtigung zu `ecr-idp:TagResource` hinzufügen. | 21. März 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Ursprüngliche Politik | 22. Februar 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRoleRichtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Ursprüngliche Politik | 22. Februar 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRoleRichtlinie](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Ursprüngliche Politik | 22. Februar 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRoleRichtlinie | 1 | Ursprüngliche Politik | 22. Februar 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Aktualisierte Richtlinie | 4 | Fügen Sie Berechtigungen für `cognito-idp:TagResource` und `s3:PutBucketCORS` hinzu. | 16. Februar 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Aktualisierte Richtlinie | 3 | Fügen Sie neue Berechtigungen hinzu für `sagemaker`. SageMaker Bilder erstellen, lesen, aktualisieren und löschen. | 15. September 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Aktualisierte Richtlinie | 2 | Fügen Sie Berechtigungen für `sagemaker` und `codestar-connections` hinzu. Erstellen, lesen, aktualisieren und löschen von Code-Repositorys. AWS CodeStar Verbindungen weiterleiten an AWS CodePipeline. | 1. Juli 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Ursprüngliche Politik | 27. November 2020 |
## SageMaker KI-Updates für AWS verwaltete Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für SageMaker KI an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) – Aktualisierung auf eine bestehende Richtlinie | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4. Dezember 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) – Aktualisierung auf eine bestehende Richtlinie | 26 | `sagemaker:AddTags` Berechtigung hinzufügen. | 29. März 2024 |
| AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie | 25 | Fügen Sie die Berechtigungen `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket`, und `s3express:ListAllMyDirectoryBuckets` hinzu. | 30. November 2023 |
| AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie | 24 | Fügen Sie `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` und `sagemaker:ListSpaces` Berechtigungen hinzu. | 30. November 2022 |
| AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie | 23 | Fügen Sie `glue:UpdateTable` hinzu. | 29. Juni 2022 |
| AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie | 22 | Fügen Sie `cloudformation:ListStackResources` hinzu. | 01.Mai 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) – Aktualisierung auf eine bestehende Richtlinie | 11 | Fügen Sie `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy` Berechtigungen hinzu. | 1. Dezember 2021 |
| AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie | 21 | Fügen Sie `sns:Publish` Berechtigungen für Endgeräte hinzu, für die Async Inference aktiviert ist. | 8. September 2021 |
| AmazonSageMakerFullAccess - Aktualisierung einer bestehenden Richtlinie | 20 | Ressourcen und `iam:PassRole` Berechtigungen aktualisieren. | 15. Juli 2021 |
| AmazonSageMakerReadOnly - Aktualisierung einer bestehenden Richtlinie | 10 | Neue API für SageMaker AI Feature Store `BatchGetRecord` hinzugefügt. | 10. Juni 2021 |
| | | SageMaker AI hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 1. Juni 2021 |
# Fehlerbehebung bei Amazon SageMaker AI Identity and Access
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit SageMaker KI und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in SageMaker KI durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht zur Ausführung von `iam:PassRole` autorisiert.](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine SageMaker KI-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in SageMaker KI durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einem Trainingsjob anzuzeigen, aber keine `sagemaker:sagemaker:DescribeTrainingJob` Berechtigungen hat.
```
User: arn:aws:iam::123456789012:user/mateojackson is not
authorized to perform: sagemaker:DescribeTrainingJob on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `TrainingJob` auf die Ressource `sagemaker:DescribeTrainingJob` zugreifen zu können.
## Ich bin nicht zur Ausführung von `iam:PassRole` autorisiert.
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an SageMaker KI übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in SageMaker AI auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine SageMaker KI-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob SageMaker KI diese Funktionen unterstützt, finden Sie unter. [So funktioniert Amazon SageMaker AI mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Protokollieren und Überwachen
Sie können Amazon SageMaker AI mithilfe von Amazon überwachen. Amazon CloudWatch sammelt Rohdaten und verarbeitet sie zu lesbaren, nahezu in Echtzeit verfügbaren Metriken. Diese Statistiken werden 15 Monate gespeichert, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblick darüber erhalten, wie Ihre Webanwendung oder der Service ausgeführt werden. Sie können auch Alarme einrichten, die auf bestimmte Grenzwerte achten und Benachrichtigungen senden oder Aktivitäten auslösen, wenn diese Grenzwerte erreicht werden. Weitere Informationen finden Sie unter [SageMaker Amazon-KI-Metriken bei Amazon CloudWatch](monitoring-cloudwatch.md).
Mit Amazon CloudWatch Logs können Sie Ihre Protokolldateien von Amazon EC2 EC2-Instances und anderen Quellen überwachen AWS CloudTrail, speichern und darauf zugreifen. Sie können Metriken sammeln und verfolgen, benutzerdefinierte Dashboards erstellen und Alarme einrichten, die Sie benachrichtigen oder Maßnahmen ergreifen, wenn eine bestimmte Metrik einen von Ihnen angegebenen Schwellenwert erreicht. CloudWatch Mithilfe von Protokollen können Informationen in den Protokolldateien überwacht und Sie benachrichtigt werden, wenn bestimmte Schwellenwerte erreicht werden. Sie können Ihre Protokolldaten auch in einem sehr robusten Speicher archivieren. Weitere Informationen finden Sie unter [CloudWatch Protokolle für Amazon SageMaker AI](logging-cloudwatch.md).
AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in SageMaker KI ausgeführt wurden. Anhand der von CloudTrail gesammelten Informationen können Sie die Anfrage an SageMaker KI, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. Weitere Informationen finden Sie unter [Protokollieren von Amazon SageMaker AI-API-Aufrufen mit AWS CloudTrail](logging-using-cloudtrail.md).
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) ist ein Service zur Bedrohungserkennung, der Ihre CloudTrail Verwaltungs- und Ereignisprotokolle kontinuierlich überwacht und analysiert, um potenzielle Sicherheitsprobleme zu identifizieren. Wenn Sie ein AWS Konto aktivieren GuardDuty , beginnt es automatisch mit der Analyse von CloudTrail Protokollen, um verdächtige Aktivitäten in zu erkennen SageMaker APIs. Erkennt beispielsweise GuardDuty verdächtige Aktivitäten, wenn ein Benutzer versehentlich eine neue vorsignierte oder leere Notebook-Instanz erstellt, die später für böswillige Aktionen verwendet werden kann. GuardDutyDie einzigartige Erkennung der Exfiltration von Anmeldeinformationen kann einem Kunden dabei helfen, festzustellen, dass die mit der Amazon EC2 EC2-Instance verknüpften AWS Anmeldeinformationen exfiltriert und dann für Anrufe von einem anderen Konto aus verwendet wurden. SageMaker APIs AWS
Sie können in Amazon CloudWatch Events Regeln erstellen, um auf Statusänderungen eines SageMaker Trainings-, Hyperparameter-Optimierungs- oder Batch-Transformationsjobs zu reagieren. Weitere Informationen finden Sie unter [Ereignisse, die Amazon SageMaker AI an Amazon sendet EventBridge](automating-sagemaker-with-eventbridge.md).
**Anmerkung**
CloudTrail überwacht keine Anrufe von. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
# Konformitätsvalidierung für Amazon SageMaker AI
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in Amazon SageMaker AI
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur bietet Amazon SageMaker AI mehrere Funktionen, die Sie bei der Unterstützung Ihrer Datenstabilität und Ihrer Backup-Anforderungen unterstützen.
# Infrastruktursicherheit in Amazon SageMaker AI
Als verwalteter Service ist Amazon SageMaker AI durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon SageMaker AI zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
**Topics**
+ [SageMaker KI scannt AWS Marketplace Trainings- und Inferenzcontainer auf Sicherheitslücken](#mkt-container-scan)
+ [Stellen Sie von einer VPC aus eine Connect zu Amazon SageMaker AI-Ressourcen her](infrastructure-connect-to-resources.md)
+ [Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus](mkt-algo-model-internet-free.md)
+ [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md)
+ [Geben Sie SageMaker KI Zugriff auf Ressourcen in Ihrer Amazon VPC](infrastructure-give-access.md)
## SageMaker KI scannt AWS Marketplace Trainings- und Inferenzcontainer auf Sicherheitslücken
Um unsere Sicherheitsanforderungen zu erfüllen, werden alle [vorgefertigten SageMaker Images](https://docs.aws.amazon.com/sagemaker/latest/dg-ecr-paths/sagemaker-algo-docker-registry-paths.html), einschließlich AWS Deep Learning Containers, der SageMaker AI-Framework-Container für maschinelles Lernen und der integrierten SageMaker KI-Algorithmuscontainer sowie der Algorithmen und Modellpakete, die in aufgeführt AWS Marketplace sind, auf Common Vulnerabilities and Exposures (CVE) gescannt. CVE ist eine Liste öffentlich bekannter Informationen zu Sicherheitsrisiken und Sicherheitslücken. Die National Vulnerability Database (NVD) stellt CVE Details wie Schweregrad, Bewertung von Auswirkungen und Informationen zu Fehlerbehebungen bereit. Sowohl CVE als auch NVD stehen zum öffentlichen Gebrauch zur Verfügung und bieten kostenlose für Sicherheits-Tools und -Services. Weitere Informationen finden Sie unter [Häufig gestellte Fragen zu CVE (](https://www.cve.org/ResourcesSupport/FAQs)). FAQs
# Stellen Sie von einer VPC aus eine Connect zu Amazon SageMaker AI-Ressourcen her
**Wichtig**
Die folgenden Informationen gelten sowohl für Amazon SageMaker Studio als auch für Amazon SageMaker Studio Classic. Die gleichen Konzepte für das Herstellen einer Verbindung zu Ressourcen innerhalb einer VPC gelten sowohl für Studio als auch für Studio Classic.
Amazon SageMaker Studio- und SageMaker AI-Notebook-Instances ermöglichen standardmäßig direkten Internetzugang. SageMaker Mit KI können Sie beliebte Pakete und Notebooks herunterladen, Ihre Entwicklungsumgebung anpassen und effizient arbeiten. Dies könnte jedoch eine Möglichkeit für den unbefugten Zugriff auf Ihre Daten bieten. Wenn Sie zum Beispiel bösartigen Code in Form eines öffentlich zugänglichen Notebooks oder einer Quellcode-Bibliothek auf Ihrem Computer installieren, könnte dieser auf Ihre Daten zugreifen. Sie können einschränken, welcher Traffic auf das Internet zugreifen kann, indem Sie Ihre Studio- und SageMaker AI-Notebook-Instances in einer [Amazon Virtual Private Cloud (Amazon VPC) starten](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html).
Eine Amazon Virtual Private Cloud ist ein virtuelles Netzwerk, das Ihrem AWS Konto gewidmet ist. Mit einer Amazon VPC können Sie den Netzwerkzugriff und die Internetverbindung Ihrer Studio- und Notebook-Instances steuern. Sie können den direkten Internetzugang entfernen, um eine zusätzliche Sicherheitsebene hinzuzufügen.
In den folgenden Themen wird beschrieben, wie Sie Ihre Studio-Instances und Notebook-Instances mit Ressourcen in einer VPC verbinden.
**Topics**
+ [Amazon SageMaker Studio in einer VPC mit externen Ressourcen Connect](studio-updated-and-internet-access.md)
+ [Verbinden von Studio-Notebooks in einer VPC mit externen Ressourcen](studio-notebooks-and-internet-access.md)
+ [Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen](appendix-notebook-and-internet-access.md)
# Amazon SageMaker Studio in einer VPC mit externen Ressourcen Connect
**Wichtig**
Seit dem 30. November 2023 heißt das vorherige Amazon SageMaker Studio-Erlebnis jetzt Amazon SageMaker Studio Classic. Der folgende Abschnitt bezieht sich auf die Verwendung der aktualisierten Studio-Erfahrung. Informationen zur Verwendung der Studio-Classic-Anwendung finden Sie unter [Amazon SageMaker Studio Klassisch](studio.md).
Das folgende Thema enthält Informationen dazu, wie Sie Amazon SageMaker Studio in einer VPC mit externen Ressourcen verbinden.
**Topics**
+ [Standardkommunikation mit dem Internet](#studio-notebooks-and-internet-access-default-setting)
+ [`VPC only` Kommunikation mit dem Internet](#studio-notebooks-and-internet-access-vpc-only)
## Standardkommunikation mit dem Internet
Standardmäßig bietet Amazon SageMaker Studio eine Netzwerkschnittstelle, die die Kommunikation mit dem Internet über eine von SageMaker KI verwaltete VPC ermöglicht. Der Datenverkehr zu AWS Diensten wie Amazon S3 erfolgt über ein Internet-Gateway, ebenso wie der Datenverkehr, der auf die SageMaker KI-API und die SageMaker KI-Laufzeit zugreift. CloudWatch Der Datenverkehr zwischen der Domain und Ihrem Amazon EFS-Volume wird über die VPC abgewickelt, die Sie beim Onboarding in die Domain oder beim Aufruf der API angegeben haben. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## `VPC only` Kommunikation mit dem Internet
Um zu verhindern, dass SageMaker KI den Internetzugang für Studio bereitstellt, können Sie den Internetzugang deaktivieren, indem Sie beim [Onboarding in Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) oder beim Aufrufen der API den `VPC only` Netzwerkzugriffstyp angeben. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Daher können Sie Studio nur ausführen, wenn Ihre VPC über einen Schnittstellenendpunkt zur SageMaker API und Runtime oder über ein NAT-Gateway mit Internetzugang verfügt und Ihre Sicherheitsgruppen ausgehende Verbindungen zulassen.
**Anmerkung**
Der Netzwerkzugriffstyp kann nach der Erstellung der Domain mithilfe des `--app-network-access-type` Parameters des Befehls [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html) geändert werden.
### Voraussetzungen für die Nutzung des `VPC only` Modus
Wenn Sie `VpcOnly` ausgewählt haben, führen Sie die folgenden Schritte aus:
1. Sie dürfen nur private Subnetze verwenden. Sie können öffentliche Subnetze nicht im `VpcOnly` Modus verwenden.
1. Stellen Sie sicher, dass Ihre Subnetze über die erforderliche Anzahl an IP-Adressen verfügen. Die erwartete Anzahl an IP-Adressen, die pro Benutzer benötigt werden, kann je nach Anwendungsfall variieren. Wir empfehlen zwischen 2 und 4 IP-Adressen pro Benutzer. Die gesamte IP-Adresskapazität für eine Domain ist die Summe der verfügbaren IP-Adressen für jedes Subnetz, die bei der Erstellung der Domain bereitgestellt wurden. Stellen Sie sicher, dass Ihre geschätzte IP-Adressnutzung die Kapazität nicht überschreitet, die von der Anzahl der von Ihnen bereitgestellten Subnetze unterstützt wird. Darüber hinaus kann die Verwendung von Subnetzen, die über viele Availability Zones verteilt sind, die Verfügbarkeit von IP-Adressen erhöhen. Weitere Informationen finden Sie unter [VPC und Subnetzdimensionierung](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) für. IPv4
**Anmerkung**
Sie können nur Subnetze mit einer Standard-Tenancy-VPC konfigurieren, in der Ihre Instance auf freigegebenen Hardware läuft. [Weitere Informationen zum Tenancy-Attribut für finden Sie unter Dedicated VPCs Instances.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**Warnung**
Wenn Sie den `VpcOnly` Modus verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Domain. Wir empfehlen die bewährte Sicherheitsmethode, d. h. die Verwendung von Berechtigungen mit den geringsten Rechten auf eingehende und ausgehende Zugriffe, die durch Sicherheitsgruppenregeln bereitgestellt werden. Zu freizügige Regelkonfigurationen für eingehenden Datenverkehr könnten es Benutzern mit Zugriff auf die VPC ermöglichen, ohne Authentifizierung mit den Anwendungen anderer Benutzerprofile zu interagieren.
Richten Sie eine oder mehrere Sicherheitsgruppen mit Regeln für eingehenden und ausgehenden Datenverkehr ein, die den folgenden Datenverkehr zulassen:
+ [NFS-Verkehr über TCP auf Port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) zwischen der Domain und dem Amazon EFS-Volume.
+ [TCP-Verkehr innerhalb der Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Dies ist für die Konnektivität zwischen der Jupyter Server Anwendung und den Kernel Gateway Anwendungen erforderlich. Sie müssen den Zugriff auf mindestens Ports im Bereich `8192-65535` zulassen.
Erstellen Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domainebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domainebene eingehenden Zugriff auf sich selbst zulässt, hätten alle Anwendungen in der Domain Zugriff auf alle anderen Anwendungen in der Domain.
1. Wenn Sie den Internetzugang zulassen möchten, müssen Sie ein [NAT-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) mit Internetzugang verwenden, z. B. über ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Wenn Sie den Internetzugang nicht zulassen möchten, [erstellen Sie Schnittstellen-VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink), damit Studio auf die folgenden Dienste mit den entsprechenden Dienstnamen zugreifen kann. Sie müssen diesen Endpunkten auch die Sicherheitsgruppen für Ihre VPC zuordnen.
+ SageMaker API:. `com.amazonaws.region.sagemaker.api`
+ SageMaker KI-Laufzeit:`com.amazonaws.region.sagemaker.runtime`. Dies ist erforderlich, um Endpunktaufrufe auszuführen.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker Projekte:`com.amazonaws.region.servicecatalog`.
+ SageMaker Studio:`aws.sagemaker.region.studio`.
+ Alle anderen AWS Dienstleistungen, die Sie benötigen.
Wenn Sie das [SageMaker Python-SDK](https://sagemaker.readthedocs.io/en/stable/) verwenden, um Remote-Trainingsjobs auszuführen, müssen Sie auch die folgenden Amazon VPC-Endpunkte erstellen.
+ AWS -Security-Token-Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Dies ist erforderlich, damit das SageMaker Python-SDK den Status des Ferntrainingsjobs abrufen kann Amazon CloudWatch.
1. Wenn Sie die Domain im `VpcOnly` Modus von einem lokalen Netzwerk aus verwenden, stellen Sie eine private Konnektivität über das Netzwerk des Hosts her, auf dem Studio im Browser ausgeführt wird, und die Amazon-Ziel-VPC. Dies ist erforderlich, da die Studio-Benutzeroberfläche AWS Endpunkte mithilfe von API-Aufrufen mit temporären AWS Anmeldeinformationen aufruft. Diese temporären Anmeldeinformationen sind der Ausführungsrolle des protokollierten Benutzerprofils zugeordnet. Wenn die Domain im `VpcOnly` Modus in einem lokalen Netzwerk konfiguriert ist, definiert die Ausführungsrolle möglicherweise IAM-Richtlinienbedingungen, die die Ausführung von AWS Service-API-Aufrufen nur über die konfigurierten Amazon VPC-Endpunkte erzwingen. Dies führt dazu, dass API-Aufrufe, die über die Studio-Benutzeroberfläche ausgeführt werden, fehlschlagen. Wir empfehlen, dieses Problem mithilfe einer Oder-Verbindung zu lösen. [AWS Site-to-Site VPN[AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
**Anmerkung**
Bei Kunden, die im VPC-Modus arbeiten, können Firmenfirewalls Verbindungsprobleme mit Studio oder Anwendungen verursachen. Führen Sie die folgenden Prüfungen durch, wenn eines dieser Probleme auftritt, wenn SieStudio hinter einer Firewall verwenden.
Vergewissern Sie sich, dass die Studio-URL und URLs all Ihre Anwendungen auf der Zulassungsliste Ihres Netzwerks stehen. Beispiel:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Vergewissern Sie sich, dass die Websocket-Verbindungen nicht blockiert sind. Jupyter verwendet Websockets.
**Weitere Informationen**
+ [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md)
+ [VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Verbinden von Studio-Notebooks in einer VPC mit externen Ressourcen
Das folgende Thema enthält Informationen dazu, wie Sie Studio-Notebooks in einer VPC mit externen Ressourcen verbinden.
## Standardkommunikation mit dem Internet
Standardmäßig bietet SageMaker Studio eine Netzwerkschnittstelle, die die Kommunikation mit dem Internet über eine von SageMaker KI verwaltete VPC ermöglicht. Der Datenverkehr zu AWS Diensten wie Amazon S3 und CloudWatch wird über ein Internet-Gateway abgewickelt. Der Datenverkehr, der auf die SageMaker API- und SageMaker AI-Laufzeit zugreift, wird ebenfalls über ein Internet-Gateway abgewickelt. Der Datenverkehr zwischen der Domain und dem Amazon EFS-Volume wird über die VPC abgewickelt, die Sie beim Onboarding in Studio oder beim Aufruf der API identifiziert haben. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Die folgende Abbildung zeigt die Standardkonfiguration.
![\[SageMaker Studio-VPC-Diagramm, das die direkte Nutzung des Internetzugangs darstellt.\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## `VPC only` Kommunikation mit dem Internet
Um zu verhindern, dass SageMaker KI Ihren Studio-Notebooks Internetzugang gewährt, deaktivieren Sie den Internetzugang, indem Sie den `VPC only` Netzwerkzugriffstyp angeben. Geben Sie diesen Netzwerkzugriffstyp [an, wenn Sie Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) einbinden oder die [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API aufrufen. Infolgedessen können Sie ein Studio-Notebook nur ausführen, wenn:
+ Ihre VPC hat einen Schnittstellen-Endpunkt zur SageMaker API und Runtime oder ein NAT-Gateway mit Internetzugang
+ Ihre Sicherheitsgruppen erlauben ausgehende Verbindungen
Das folgende Diagramm zeigt eine Konfiguration für die Verwendung des reinen VPC-Modus.
![\[SageMaker Studio-VPC-Diagramm, das die Verwendung des Nur-VPC-Modus darstellt.\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Voraussetzungen für die Nutzung des `VPC only` Modus
Wenn Sie `VpcOnly` ausgewählt haben, führen Sie die folgenden Schritte aus:
1. Sie dürfen nur private Subnetze verwenden. Sie können öffentliche Subnetze nicht im `VpcOnly` Modus verwenden.
1. Stellen Sie sicher, dass Ihre Subnetze über die erforderliche Anzahl an IP-Adressen verfügen. Die erwartete Anzahl an IP-Adressen, die pro Benutzer benötigt werden, kann je nach Anwendungsfall variieren. Wir empfehlen zwischen 2 und 4 IP-Adressen pro Benutzer. Die gesamte IP-Adresskapazität für eine Studio-Domain ist die Summe der verfügbaren IP-Adressen für jedes Subnetz, die bei der Erstellung der Domain bereitgestellt wurden. Stellen Sie sicher, dass Ihre IP-Adressnutzung die Kapazität, die durch die Anzahl der von Ihnen bereitgestellten Subnetze unterstützt wird, nicht überschreitet. Darüber hinaus kann die Verwendung von Subnetzen, die über viele Availability Zones verteilt sind, die Verfügbarkeit von IP-Adressen erhöhen. Weitere Informationen finden Sie unter [VPC und Subnetzdimensionierung](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) für. IPv4
**Anmerkung**
Sie können nur Subnetze mit einer Standard-Tenancy-VPC konfigurieren, in der Ihre Instance auf freigegebenen Hardware läuft. [Weitere Informationen zum Tenancy-Attribut für finden Sie unter Dedicated VPCs Instances.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**Warnung**
Wenn Sie den `VpcOnly` Modus verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Domain. Wir empfehlen die bewährte Sicherheitsmethode, d. h. die Verwendung von Berechtigungen mit den geringsten Rechten auf eingehende und ausgehende Zugriffe, die durch Sicherheitsgruppenregeln bereitgestellt werden. Zu freizügige Regelkonfigurationen für eingehenden Datenverkehr könnten es Benutzern mit Zugriff auf die VPC ermöglichen, ohne Authentifizierung mit den Anwendungen anderer Benutzerprofile zu interagieren.
Richten Sie eine oder mehrere Sicherheitsgruppen mit Regeln für eingehenden und ausgehenden Datenverkehr ein, die den folgenden Datenverkehr zulassen:
+ [NFS-Verkehr über TCP auf Port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) zwischen der Domain und dem Amazon EFS-Volume.
+ [TCP-Verkehr innerhalb der Sicherheitsgruppe](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Dies ist für die Konnektivität zwischen der Jupyter Server Anwendung und den Kernel Gateway Anwendungen erforderlich. Sie müssen den Zugriff auf mindestens Ports im Bereich `8192-65535` zulassen.
Erstellen Sie für jedes Benutzerprofil eine eigene Sicherheitsgruppe und fügen Sie eingehenden Zugriff aus derselben Sicherheitsgruppe hinzu. Es wird nicht empfohlen, eine Sicherheitsgruppe auf Domainebene für Benutzerprofile wiederzuverwenden. Wenn die Sicherheitsgruppe auf Domainebene eingehenden Zugriff auf sich selbst zulässt, haben alle Anwendungen in der Domain Zugriff auf alle anderen Anwendungen in der Domain.
1. Wenn Sie den Internetzugang zulassen möchten, müssen Sie ein [NAT-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) mit Internetzugang verwenden, z. B. über ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Um den Internetzugang zu entfernen, [erstellen Sie Schnittstellen-VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink), damit Studio mit den entsprechenden Dienstnamen auf die folgenden Dienste zugreifen kann. Sie müssen diesen Endpunkten auch die Sicherheitsgruppen für Ihre VPC zuordnen.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker KI-Laufzeit:`com.amazonaws.region.sagemaker.runtime`. Dies ist erforderlich, um Studio-Notebooks auszuführen und Modelle zu trainieren und zu hosten.
+ Amazon S3: `com.amazonaws.region.s3`.
+ Um SageMaker Projekte zu verwenden:`com.amazonaws.region.servicecatalog`.
+ Alle anderen AWS Dienste, die Sie benötigen.
Wenn Sie das [SageMaker Python-SDK](https://sagemaker.readthedocs.io/en/stable/) verwenden, um Remote-Trainingsjobs auszuführen, müssen Sie auch die folgenden Amazon VPC-Endpunkte erstellen.
+ AWS -Security-Token-Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Dies ist erforderlich, damit das SageMaker Python-SDK den Status des Ferntrainingsjobs abrufen kann Amazon CloudWatch.
**Anmerkung**
Bei einem Kunden, der im VPC-Modus arbeitet, können Firmenfirewalls Verbindungsprobleme mit SageMaker Studio oder zwischen JupyterServer und dem verursachen. KernelGateway Führen Sie die folgenden Prüfungen durch, wenn Sie auf eines dieser Probleme stoßen, wenn Sie SageMaker Studio hinter einer Firewall verwenden.
Vergewissern Sie sich, dass die Studio-URL auf der Zulassungsliste Ihres Netzwerks steht.
Vergewissern Sie sich, dass die Websocket-Verbindungen nicht blockiert sind. Jupyter verwendet Websocket unter der Haube. Wenn die KernelGateway Anwendung dies ist InService, JupyterServer kann möglicherweise keine Verbindung zum hergestellt werden KernelGateway. Dieses Problem sollte auch auftreten, wenn Sie das System Terminal öffnen.
**Weitere Informationen**
+ [Sicherung der Amazon SageMaker Studio-Konnektivität mithilfe einer privaten VPC](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md)
+ [VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Verbinden einer Notebook-Instance in einer VPC mit externen Ressourcen
Das folgende Thema enthält Informationen dazu, wie Sie Ihre Notebook-Instance in einer VPC mit externen Ressourcen verbinden.
## Standardkommunikation mit dem Internet
Wenn Ihr Notebook *direkten Internetzugang* ermöglicht, stellt SageMaker KI eine Netzwerkschnittstelle bereit, über die das Notebook über eine von SageMaker KI verwaltete VPC mit dem Internet kommunizieren kann. Der Verkehr innerhalb der CIDR Ihrer VPC läuft über die elastische Netzwerkschnittstelle, die in Ihrer VPC erstellt wurde. Der gesamte andere Datenverkehr wird über die von SageMaker KI erstellte Netzwerkschnittstelle abgewickelt, die im Wesentlichen über das öffentliche Internet abgewickelt wird. Der Datenverkehr zu Gateway-VPC-Endpunkten wie Amazon S3 und DynamoDB läuft über das öffentliche Internet, während der Datenverkehr zu Schnittstellen-VPC-Endpunkten weiterhin über Ihre VPC läuft. Wenn Sie Gateway-VPC-Endpunkte verwenden möchten, sollten Sie den direkten Internetzugang deaktivieren.
## Nur-VPC-Kommunikation mit dem Internet
Um den direkten Internetzugriff zu deaktivieren, können Sie eine VPC für Ihre Notebook-Instance angeben. Auf diese Weise verhindern Sie, dass SageMaker KI Internetzugriff auf Ihre Notebook-Instanz bereitstellt. Infolgedessen kann die Notebook-Instance keine Modelle trainieren oder hosten, es sei denn, Ihre VPC verfügt über einen Schnittstellenendpunkt (AWS PrivateLink) oder ein NAT-Gateway und Ihre Sicherheitsgruppen erlauben ausgehende Verbindungen.
Informationen zum Erstellen eines VPC-Schnittstellenendpunkts, der AWS PrivateLink für Ihre Notebook-Instance verwendet werden soll, finden Sie unter[Herstellen einer Verbindung zu einer Notebook-Instance über einen VPC-Schnittstellenendpunkt](notebook-interface-endpoint.md). Informationen zum Einrichten eines NAT-Gateways für Ihre VPC finden Sie unter [VPC with Public and Private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) im *Amazon Virtual Private Cloud User Guide*. Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Weitere Informationen zu Netzwerkkonfigurationen in den einzelnen Netzwerkmodi und zur Konfiguration des Netzwerks vor Ort finden Sie unter [Grundlegendes zu Netzwerkkonfigurationen und erweiterten Routing-Optionen von Amazon SageMaker Notebook-Instances](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/).
**Warnung**
Wenn Sie eine VPC für Ihre Notebook-Instance verwenden, besitzen Sie teilweise die Netzwerkkonfiguration für die Instance. Als bewährte Sicherheitsmethode empfehlen wir, für den eingehenden und ausgehenden Zugriff, den Sie mit Ihren Sicherheitsgruppenregeln zulassen, Berechtigungen mit geringsten Privilegien anzuwenden. Wenn Sie zu freizügige Regelkonfigurationen für eingehenden Datenverkehr anwenden, können Benutzer, die Zugriff auf Ihre VPC haben, auf Ihre Jupyter Notebooks zugreifen, ohne sich zu authentifizieren.
## Sicherheit und gemeinsam genutzte Notebook-Instances
Eine SageMaker Notebook-Instance ist so konzipiert, dass sie für einen einzelnen Benutzer am besten funktioniert. Damit erhalten Datenexperten und andere Benutzer eine leistungsstarke Verwaltung für ihre Entwicklungsumgebung.
Ein Notebook-Instance-Benutzer hat Root-Zugriff, um Pakete und andere relevante Software zu installieren. Wir empfehlen, dass Sie Vorsicht walten lassen, wenn Sie einzelnen Benutzern Zugriff auf Notebook-Instances gewähren, die mit einer VPC verbunden sind, welche vertrauliche Informationen enthält. Beispielsweise können Sie einem Benutzer Zugriff auf eine Notebook-Instance mit einer IAM-Richtlinie gewähren, indem Sie ihm die Möglichkeit geben, eine vorab signierte Notebook-URL zu erstellen, wie im folgenden Beispiel gezeigt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------
# Ausführen von Trainings- und Inferenzcontainern in Internet-freier Modus
SageMaker KI-Training und bereitgestellte Inferenzcontainer sind standardmäßig internetfähig. Auf diese Weise können Container im Rahmen Ihrer Trainings- und Inferenz-Workloads auf externe Services und Ressourcen im öffentlichen Internet zugreifen. Dies könnte jedoch eine Möglichkeit für den unbefugten Zugriff auf Ihre Daten bieten. So kann beispielsweise ein böswilliger Benutzer oder ein Schad-Code, den Sie versehentlich auf dem Container installiert haben (in Form einer öffentlich verfügbaren Quellcode-Bibliothek), auf Ihre Daten zugreifen und sie auf einen Remote-Host übertragen.
Wenn Sie eine Amazon VPC verwenden, indem Sie beim Aufruf von [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), oder [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), einen Wert für den `VpcConfig` Parameter angeben, können Sie Ihre Daten und Ressourcen schützen, indem Sie Sicherheitsgruppen verwalten und den Internetzugriff von Ihrer VPC aus beschränken. Dies erfordert jedoch zusätzlichen Netzwerkkonfigurationen und birgt das Risiko, dass Sie Ihr Netzwerk nicht korrekt konfigurieren. Wenn Sie nicht möchten, dass SageMaker KI externen Netzwerkzugriff auf Ihre Trainings- oder Inferenzcontainer bereitstellt, können Sie die Netzwerkisolierung aktivieren.
## Netzwerkisolierung
Sie können die Netzwerkisolierung aktivieren, wenn Sie Ihren Trainingsjob oder Ihr Modell erstellen, indem Sie den Wert des `EnableNetworkIsolation`-Parameters auf `True` setzen, wenn Sie [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), oder [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html). aufrufen.
**Anmerkung**
Die Isolierung des Netzwerks ist erforderlich, um Trainingsaufträge und Modelle mit Ressourcen von AWS Marketplace auszuführen. Für zusätzliche Sicherheit werden AWS Marketplace Images in einer Amazon VPC ausgeführt. Sie haben nur Zugriff auf Daten in ihren lokalen Dateisystemen.
Wenn Sie die Netzwerkisolierung aktivieren, können Ihre Trainings- und Inferenzcontainer keine ausgehenden Netzwerkaufrufe an Dienste, einschließlich Amazon S3, tätigen. Der Container-Laufzeitumgebung werden keine AWS Anmeldeinformationen zur Verfügung gestellt. Bei Trainingsjobs mit mehreren Instanzen ist der eingehende und ausgehende Netzwerkverkehr auf die Kommunikation zwischen Trainingscontainer-Peers beschränkt.
SageMaker KI wickelt weiterhin alle erforderlichen Download- und Upload-Vorgänge für Amazon S3 mithilfe Ihrer SageMaker AI-Ausführungsrolle ab. Dies geschieht unabhängig von Ihren Trainings- und Inferenzcontainern, wodurch sichergestellt wird, dass Ihre Trainingsdaten und Modellartefakte weiterhin zugänglich sind, während die Container-Isolierung beibehalten wird.
Die folgenden verwalteten SageMaker KI-Container unterstützen keine Netzwerkisolierung, da sie Zugriff auf Amazon S3 benötigen:
+ Chainer
+ SageMaker Verstärktes Lernen mit KI
### Netzwerkisolierung mit einer VPC
Netzwerkisolierung kann in Verbindung mit einer VPC verwendet werden. In diesem Szenario wird der Download und Upload von Kundendaten und Modellartefakten über Ihr VPC-Subnetz geleitet. Beachten Sie jedoch, dass das Trainings- und Inferenzcontainer selbst weiterhin vom Netzwerk isoliert sind und keinen Zugriff auf Ressourcen innerhalb Ihrer VPC oder im Internet haben.
# Connect zu SageMaker KI in Ihrer VPC her
Sie können über einen [Schnittstellenendpunkt](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) in Ihrer Virtual Private Cloud (VPC) eine direkte Verbindung zur SageMaker API oder zu Amazon SageMaker Runtime herstellen, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen VPC-Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und der SageMaker KI-API oder Runtime vollständig und sicher innerhalb eines AWS Netzwerks.
## Stellen Sie über einen VPC-Schnittstellenendpunkt eine Connect zu SageMaker KI her
Die SageMaker API und SageMaker AI Runtime unterstützen [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) -Schnittstellenendpunkte, die von betrieben werden. [AWS PrivateLink](https://aws.amazon.com/privatelink) Jeder VPC-Endpunkt wird durch eine oder mehrere [Elastic Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert. Beispielsweise kommuniziert eine Anwendung in Ihrer VPC mit SageMaker AI Runtime. AWS PrivateLink SageMaker AI Runtime kommuniziert wiederum mit dem SageMaker KI-Endpunkt. AWS PrivateLink Mithilfe können Sie Ihren SageMaker KI-Endpunkt von Ihrer VPC aus aufrufen, wie in der folgenden Abbildung dargestellt.
![\[\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/security-vpc-SM.png)
Der VPC-Schnittstellenendpunkt verbindet Ihre VPC direkt mit der SageMaker API oder SageMaker AI Runtime, AWS PrivateLink ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung zu verwenden. Die Instances in Ihrer VPC müssen keine Verbindung zum öffentlichen Internet herstellen, um mit der SageMaker API oder SageMaker AI Runtime zu kommunizieren.
Sie können einen AWS PrivateLink Schnittstellenendpunkt erstellen, um eine Verbindung zu SageMaker AI oder SageMaker AI Runtime herzustellen, indem Sie entweder AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI) verwenden. Anweisungen finden Sie unter [Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Wenn Sie keinen privaten DNS-Hostnamen (Domain Name System) für Ihren VPC-Endpunkt aktiviert *haben, geben Sie nach der Erstellung eines VPC-Endpunkts* die Internetendpunkt-URL zur SageMaker API oder SageMaker AI Runtime an. Es folgt ein Beispielcode, der AWS CLI Befehle zur Angabe des `endpoint-url` Parameters verwendet.
```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Wenn Sie private DNS-Hostnamen für Ihren VPC-Endpunkt aktivieren, müssen Sie die Endpunkt-URL nicht angeben, da es sich um den Standard-Hostnamen handelt (https://api.sagemaker. *Region*.amazon.com) wird zu Ihrem VPC-Endpunkt aufgelöst. Ähnlich verhält es sich mit dem standardmäßigen DNS-Hostname von SageMaker AI Runtime (https://runtime.sagemaker). *Region*.amazonaws.com) wird auch zu Ihrem VPC-Endpunkt aufgelöst.
Die SageMaker API und SageMaker AI Runtime unterstützen VPC-Endpunkte überall dort, AWS-Regionen wo sowohl [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) als auch [SageMaker AI](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) verfügbar sind. SageMaker KI unterstützt das Ausführen von Aufrufen an alle Funktionen [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)in Ihrer VPC. Wenn Sie das `AuthorizedUrl` von der verwenden [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html)Befehl, Ihr Datenverkehr wird über das öffentliche Internet übertragen. Sie können nicht nur einen VPC-Endpunkt verwenden, um auf die vorsignierte URL zuzugreifen, die Anfrage muss auch über das Internet-Gateway gehen.
Standardmäßig können Ihre Benutzer die vorsignierte URL mit Personen außerhalb Ihres Unternehmensnetzwerks teilen. Aus Sicherheitsgründen müssen Sie IAM-Berechtigungen hinzufügen, um zu verhindern, dass die URL nur innerhalb Ihres Netzwerks verwendet werden kann. Informationen zu IAM-Berechtigungen finden Sie unter [So AWS PrivateLink funktioniert es mit](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html) IAM.
**Anmerkung**
Beim Einrichten eines VPC-Schnittstellenendpunkts für den SageMaker AI Runtime-Service (https://runtime.sagemaker. `Region`.amazonaws.com), müssen Sie sicherstellen, dass der VPC-Schnittstellenendpunkt in der Availability Zone Ihres Kunden aktiviert ist, damit die private DNS-Auflösung funktioniert. Andernfalls können beim Versuch, die URL aufzulösen, DNS-Fehler auftreten.
[Weitere Informationen AWS PrivateLink dazu finden Sie in der Dokumentation.AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Die Preise für die VPC-Endpunkte finden Sie unter [AWS PrivateLink Preise](https://aws.amazon.com/privatelink/pricing/). Unter [Amazon VPC](https://aws.amazon.com/vpc/) erfahren Sie mehr über die VPC und Endpunkte. Informationen zur Verwendung identitätsbasierter AWS Identity and Access Management Richtlinien zur Beschränkung des Zugriffs auf die SageMaker API und SageMaker AI Runtime finden Sie unter. [Steuern Sie den Zugriff auf die SageMaker KI-API mithilfe identitätsbasierter Richtlinien](security_iam_id-based-policy-examples.md#api-access-policy)
## Nutzung von SageMaker Schulungen und Hosting mit Ressourcen in Ihrer VPC
SageMaker KI verwendet Ihre Ausführungsrolle, um Informationen aus einem Amazon S3-Bucket und Amazon Elastic Container Registry (Amazon ECR) herunterzuladen und hochzuladen, unabhängig von Ihrem Trainings- oder Inferenzcontainer. Wenn Sie über Ressourcen verfügen, die sich in Ihrer VPC befinden, können Sie SageMaker KI trotzdem Zugriff auf diese Ressourcen gewähren. In den folgenden Abschnitten wird erklärt, wie Sie Ihre Ressourcen mit oder ohne Netzwerkisolierung für SageMaker KI verfügbar machen können.
### Ohne aktivierte Netzwerkisolierung
Wenn Sie in Ihrem Ausbildungsjob oder Modell keine Netzwerkisolierung eingerichtet haben, kann SageMaker KI mit einer der folgenden Methoden auf Ressourcen zugreifen.
+ SageMaker Übungs- und bereitgestellte Inferenzcontainer können standardmäßig auf das Internet zugreifen. SageMaker KI-Container können im Rahmen Ihrer Schulungs- und Inferenz-Workloads auf externe Dienste und Ressourcen im öffentlichen Internet zugreifen. SageMaker KI-Container können ohne eine VPC-Konfiguration nicht auf Ressourcen in Ihrer VPC zugreifen, wie in der folgenden Abbildung dargestellt.
![\[\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Verwenden Sie eine VPC-Konfiguration, um mit Ressourcen innerhalb Ihrer VPC über eine Elastic-Network Schnittstelle (ENI) zu kommunizieren. Die Kommunikation zwischen dem Container und den Ressourcen in Ihrer VPC erfolgt sicher innerhalb Ihres VPC-Netzwerks, wie in der folgenden Abbildung dargestellt. In diesem Fall verwalten Sie den Netzwerkzugriff auf Ihre VPC-Ressourcen und das Internet.
![\[\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/security-vpc-config.png)
### Mit Netzwerkisolierung
Wenn Sie Netzwerkisolierung verwenden, kann der SageMaker KI-Container nicht mit Ressourcen in Ihrer VPC kommunizieren oder Netzwerkaufrufe tätigen, wie in der folgenden Abbildung dargestellt. Wenn Sie eine VPC-Konfiguration angeben, werden die Download- und Upload-Vorgänge über Ihre VPC ausgeführt. Weitere Informationen zum Hosten und Trainieren mit Netzwerkisolierung bei Verwendung einer VPC finden Sie unter [Netzwerkisolierung](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation).
![\[\]](http://docs.aws.amazon.com/de_de/sagemaker/latest/dg/images/security-network-isolation-no-config.png)
## Erstellen Sie eine VPC-Endpunktrichtlinie für KI SageMaker
Sie können eine Richtlinie für Amazon VPC-Endpunkte für SageMaker KI erstellen, um Folgendes anzugeben:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC User Guide*.
**Anmerkung**
VPC-Endpunktrichtlinien werden für SageMaker AI-Laufzeitendpunkte des Federal Information Processing Standard (FIPS) nicht unterstützt. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
Die folgende Beispiel-VPC-Endpunktrichtlinie legt fest, dass alle Benutzer, die Zugriff auf den VPC-Schnittstellenendpunkt haben, den genannten SageMaker KI-gehosteten Endpunkt aufrufen dürfen. `myEndpoint`
```
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}
```
In diesem Beispiel wird Folgendes verweigert:
+ Andere SageMaker API-Aktionen wie und. `sagemaker:CreateEndpoint` `sagemaker:CreateTrainingJob`
+ Aufrufen anderer SageMaker KI-gehosteter Endpunkte als. `myEndpoint`
**Anmerkung**
In diesem Beispiel können Benutzer weiterhin andere SageMaker API-Aktionen von außerhalb der VPC ausführen. Weitere Informationen zum Einschränken von API-Aufrufen von innerhalb der VPC finden Sie unter [Steuern Sie den Zugriff auf die SageMaker KI-API mithilfe identitätsbasierter Richtlinien](security_iam_id-based-policy-examples.md#api-access-policy).
## Erstellen Sie eine VPC-Endpunktrichtlinie für Amazon SageMaker Feature Store
Um einen VPC-Endpunkt für Amazon SageMaker Feature Store zu erstellen, verwenden Sie die folgende Endpunktvorlage und ersetzen Sie dabei Ihr und: *VPC\$1Endpoint\$1ID.api* *Region*
`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`
# Connect zu Amazon SageMaker Studio und Studio Classic über einen Schnittstellen-VPC-Endpunkt her
Sie können von Ihrer Amazon Amazon SageMaker [Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (Amazon VPC) aus über einen [Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) in Ihrer VPC eine Verbindung zu Ihrem Amazon SageMaker Studio und Amazon Studio Classic herstellen, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt) verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und Studio oder Studio Classic vollständig und sicher innerhalb des AWS Netzwerks.
Studio und Studio Classic unterstützen Schnittstellenendpunkte, die von [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) betrieben werden. Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Netzwerkschnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.
Studio und Studio Classic unterstützen Schnittstellenendpunkte in allen AWS Regionen, in denen sowohl [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/pricing/) als auch [Amazon VPC verfügbar](https://aws.amazon.com/vpc/pricing/) sind.
**Topics**
+ [Erstellen eines VPC-Endpunktes](#studio-interface-endpoint-create)
+ [Erstellen einer VPC-Endpunktrichtlinie für Studio oder Studio Classic](#studio-private-link-policy)
+ [Zugriff nur von Ihrer VPC aus zulassen](#studio-private-link-restrict)
## Erstellen eines VPC-Endpunktes
Sie können einen Schnittstellenendpunkt erstellen, um mit der AWS Konsole oder der AWS Command Line Interface ()AWS CLI eine Verbindung zu Studio oder Studio Classic herzustellen. Anweisungen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Stellen Sie sicher, dass Sie Schnittstellenendpunkte für alle Subnetze in Ihrer VPC erstellen, von denen Sie eine Verbindung zu Studio und Studio Classic herstellen möchten.
Wenn Sie einen Schnittstellenendpunkt erstellen, stellen Sie sicher, dass die Sicherheitsgruppen auf Ihrem Endpunkt eingehenden Zugriff auf HTTPS-Verkehr von den mit Studio und Studio Classic verknüpften Sicherheitsgruppen zulassen. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Anmerkung**
Erstellen Sie nicht nur einen Schnittstellenendpunkt für die Verbindung mit Studio und Studio Classic, sondern auch einen Schnittstellenendpunkt für die Verbindung mit der SageMaker Amazon-API. Wenn Benutzer aufrufen [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html), um die URL für die Verbindung mit Studio und Studio Classic abzurufen, erfolgt dieser Aufruf über den Schnittstellenendpunkt, der für die Verbindung mit der SageMaker API verwendet wird.
Wenn Sie den Schnittstellenendpunkt erstellen, geben Sie **aws.sagemaker.*Region*.studio** als Service-Namen für Studio oder Studio Classic an. Nachdem Sie den Schnittstellenendpunkt erstellt haben, aktivieren Sie privates DNS für Ihren Endpunkt. Wenn Sie von der VPC aus über die SageMaker API, die oder die Konsole eine Verbindung zu Studio oder Studio Classic herstellen AWS CLI, stellen Sie die Verbindung über den Schnittstellenendpunkt statt über das öffentliche Internet her. Sie müssen auch ein benutzerdefiniertes DNS mit privaten gehosteten Zonen für den Amazon VPC-Endpunkt einrichten, damit Studio oder Studio Classic über den Endpunkt auf die SageMaker API zugreifen können, anstatt die `api.sagemaker.$region.amazonaws.com` VPC-Endpunkt-URL zu verwenden. Anweisungen zum Einrichten einer privat gehosteten Zone finden Sie unter [Arbeiten mit privat gehosteten Zonen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html).
## Erstellen einer VPC-Endpunktrichtlinie für Studio oder Studio Classic
Sie können eine Amazon VPC-Endpunktrichtlinie an die Schnittstellen-VPC-Endpunkte anfügen, die Sie für die Verbindung mit SageMaker Studio verwenden. Die Endpunktrichtlinie steuert den Zugriff auf Studio oder Studio Classic. Sie können Folgendes angeben:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Um einen VPC-Endpunkt mit Studio oder Studio Classic zu verwenden, muss Ihre Endpunktrichtlinie den `CreateApp` Vorgang für den KernelGateway App-Typ zulassen. Dadurch kann der Datenverkehr, der über den VPC-Endpunkt geleitet wird, die `CreateApp` API aufrufen. Das folgende Beispiel für eine VPC-Endpunktrichtlinie zeigt, wie der `CreateApp`-Vorgang zugelassen werden kann.
```
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}
```
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Das folgende Beispiel für eine VPC-Endpunktrichtlinie legt fest, dass alle Benutzer, die Zugriff auf den Endpunkt haben, mit der angegebenen Domain-ID auf die Benutzerprofile in der SageMaker AI-Domäne zugreifen dürfen. Der Zugriff auf andere Domains wird abgelehnt.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}
```
## Zugriff nur von Ihrer VPC aus zulassen
Benutzer außerhalb Ihrer VPC können sich über das Internet mit Studio oder Studio Classic verbinden, auch wenn Sie in Ihrer VPC einen Schnittstellenendpunkt eingerichtet haben.
Um den Zugriff nur auf Verbindungen zu ermöglichen, die von Ihrer VPC aus hergestellt wurden, erstellen Sie eine entsprechende AWS Identity and Access Management (IAM-) Richtlinie. Fügen Sie diese Richtlinie zu jedem Benutzer, jeder Gruppe oder Rolle hinzu, die für den Zugriff auf Studio oder Studio Classic verwendet wird. Dieses Feature wird nur bei Verwendung des IAM-Modus für die Authentifizierung unterstützt und ist im Modus IAM Identity Center nicht verfügbar. Die folgenden Beispiele veranschaulichen, wie solche Richtlinien erstellt werden.
**Wichtig**
Wenn Sie eine IAM-Richtlinie anwenden, die einem der folgenden Beispiele ähnelt, können Benutzer nicht über die SageMaker AI-Konsole auf Studio oder Studio Classic oder die angegebene SageMaker APIs Version zugreifen. Um auf Studio oder Studio Classic zuzugreifen, müssen Benutzer eine vorsignierte URL verwenden oder die SageMaker APIs URL direkt aufrufen.
**Beispiel 1: Verbindungen nur innerhalb des Subnetzes eines Schnittstellenendpunkts zulassen**
Die folgende Richtlinie erlaubt nur Verbindungen zu Anrufern innerhalb des Teilnetzes, in dem Sie den Schnittstellenendpunkt erstellt haben.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
**Beispiel 2: Verbindungen nur über Schnittstellenendpunkte zulassen mit `aws:sourceVpce`**
Die folgende Richtlinie erlaubt nur Verbindungen zu Verbindungen, die über die durch den `aws:sourceVpce` Bedingungsschlüssel angegebenen Schnittstellenendpunkte hergestellt werden. Beispielsweise könnte der erste Schnittstellenendpunkt den Zugriff über die SageMaker AI-Konsole ermöglichen. Der zweite Schnittstellenendpunkt könnte den Zugriff über die SageMaker API ermöglichen.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Diese Richtlinie muss auch die Aktion [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html) enthalten. Normalerweise rufen Sie `DescribeUserProfile` auf, um sicherzustellen, dass der Status des Benutzerprofils `InService` ist, bevor Sie versuchen, eine Verbindung zur Domain herzustellen. Beispiel:
```
aws sagemaker describe-user-profile \
--domain-id domain-id \
--user-profile-name profile-name
```
Antwort:
```
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}
```
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name
```
Antwort:
```
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}
```
Wenn Sie für diese beiden Aufrufe eine Version des AWS SDK verwenden, die vor dem 13. August 2018 veröffentlicht wurde, müssen Sie die Endpunkt-URL im Aufruf angeben. Das folgende Beispiel zeigt einen Aufruf an `create-presigned-domain-url`:
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name \
--endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
```
**Beispiel 3: Verbindungen von IP-Adressen zulassen mit `aws:SourceIp` **
Die folgende Richtlinie erlaubt nur Verbindungen aus dem angegebenen IP-Adressbereich unter Verwendung des `aws:SourceIp` Bedingungsschlüssels.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Beispiel 4: Verbindungen von IP-Adressen über einen Schnittstellenendpunkt zulassen mit `aws:VpcSourceIp`**
Wenn Sie über einen Schnittstellenendpunkt auf Studio oder Studio Classic zugreifen, können Sie den `aws:VpcSourceIp`-Bedingungsschlüssel verwenden, um Verbindungen nur aus dem angegebenen IP-Adressbereich innerhalb des Subnetzes zuzulassen, in dem Sie den Schnittstellenendpunkt erstellt haben, wie in der folgenden Richtlinie dargestellt:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Verbindung zu einem MLflow Tracking-Server über einen Interface VPC-Endpunkt herstellen
Der MLflow Tracking-Server läuft in einer Amazon Virtual Private Cloud, die von Amazon SageMaker AI verwaltet wird. Sie können von einem Endpunkt in Ihrer eigenen VPC aus eine Verbindung zu einem MLflow Tracking-Server herstellen. Ihre Anfragen an den Tracking-Server sind nicht im Internet veröffentlicht. Weitere Informationen zur Verbindung Ihrer VPC mit SageMaker KI finden Sie unter[Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md).
**Topics**
+ [Erstellen eines VPC-Endpunktes](mlflow-interface-endpoint-create.md)
+ [Erstellen Sie eine VPC-Endpunktrichtlinie für KI SageMaker MLflow](mlflow-private-link-policy.md)
+ [Zulassen von Zugriff nur von Ihrer VPC aus](mlflow-private-link-restrict.md)
# Erstellen eines VPC-Endpunktes
Sie können einen Schnittstellenendpunkt erstellen, um eine Verbindung mit SageMaker KI MLflow herzustellen. Anweisungen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Stellen Sie sicher, dass Sie Schnittstellenendpunkte für alle Subnetze in Ihrer VPC erstellen, von denen aus Sie eine Verbindung zu KI herstellen möchten. SageMaker MLflow
Wenn Sie einen Schnittstellenendpunkt erstellen, stellen Sie sicher, dass die Sicherheitsgruppen auf Ihrem Endpunkt den eingehenden und ausgehenden Zugriff für HTTPS-Datenverkehr zulassen. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Anmerkung**
Erstellen Sie nicht nur einen Schnittstellenendpunkt für die Verbindung mit SageMaker KI MLflow, sondern auch einen Schnittstellenendpunkt für die Verbindung mit der SageMaker Amazon-API. Wenn Benutzer aufrufen [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html), um die URL für die Verbindung mit SageMaker KI abzurufen MLflow, erfolgt dieser Aufruf über den Schnittstellenendpunkt, der für die Verbindung mit der SageMaker API verwendet wird.
Wenn Sie den Schnittstellenendpunkt erstellen, geben Sie **aws.sagemaker.*AWS-Region*.experiments** als Service-Namen an. Nachdem Sie den Schnittstellenendpunkt erstellt haben, aktivieren Sie privates DNS für Ihren Endpunkt. Wenn Sie mithilfe des SageMaker Python-SDK MLflow von der VPC aus eine Verbindung zu SageMaker KI herstellen, stellen Sie die Verbindung über den Schnittstellenendpunkt statt über das öffentliche Internet her.
Innerhalb von können Sie das folgende Verfahren verwenden AWS-Managementkonsole, um einen Endpunkt zu erstellen.
**So erstellen Sie einen Endpunkt**
1. Navigieren Sie zur Konsole der [Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).
1. Navigieren Sie zu **Endpoints**.
1. Wählen Sie **Endpunkt erstellen** aus.
1. (Optional) Geben Sie unter **Name (Tag)** einen Namen für den Endpunkt an.
1. Geben Sie in der Suchleiste unter **Dienste** die Option **Experimente** an.
1. Wählen Sie den Endpunkt aus, den Sie erstellen.
1. Geben Sie unter **VPC** den Namen der Gruppe an.
1. Wählen Sie **Endpunkt erstellen** aus.
# Erstellen Sie eine VPC-Endpunktrichtlinie für KI SageMaker MLflow
Sie können eine Amazon VPC-Endpunktrichtlinie an die Schnittstellen-VPC-Endpunkte anhängen, die Sie für die Verbindung mit KI verwenden. SageMaker MLflow Die Endpunktrichtlinie steuert den Zugriff auf. MLflow Sie können Folgendes angeben:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Das folgende Beispiel für eine VPC-Endpunktrichtlinie gibt an, dass alle Benutzer, die Zugriff auf den Endpunkt haben, auf den von Ihnen angegebenen MLflow Tracking-Server zugreifen dürfen. Der Zugriff auf andere Tracking-Server wird abgelehnt.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:AWS-Region:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Zulassen von Zugriff nur von Ihrer VPC aus
Benutzer außerhalb Ihrer VPC können sich mit SageMaker KI MLflow oder über das Internet verbinden, auch wenn Sie in Ihrer VPC einen Schnittstellenendpunkt einrichten.
Um den Zugriff nur auf Verbindungen zu ermöglichen, die von Ihrer VPC aus hergestellt wurden, erstellen Sie eine entsprechende AWS Identity and Access Management (IAM-) Richtlinie. Fügen Sie diese Richtlinie allen Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf SageMaker KI verwendet werden. MLflow Dieses Feature wird nur bei Verwendung des IAM-Modus für die Authentifizierung unterstützt und ist im Modus IAM Identity Center nicht verfügbar. Die folgenden Beispiele veranschaulichen, wie solche Richtlinien erstellt werden.
**Wichtig**
Wenn Sie eine IAM-Richtlinie anwenden, die einem der folgenden Beispiele ähnelt, können Benutzer nicht MLflow über die angegebene SageMaker APIs AI-Konsole auf SageMaker SageMaker KI zugreifen. Um auf SageMaker KI zuzugreifen MLflow, müssen Benutzer eine vorsignierte URL verwenden oder die SageMaker APIs URL direkt aufrufen.
**Beispiel 1: Verbindungen nur innerhalb des Subnetzes eines Schnittstellenendpunkts zulassen**
Die folgende Richtlinie erlaubt nur Verbindungen zu Anrufern innerhalb des Teilnetzes, in dem Sie den Schnittstellenendpunkt erstellt haben.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Beispiel 2: Verbindungen nur über Schnittstellenendpunkte zulassen mit `aws:sourceVpce`**
Die folgende Richtlinie erlaubt nur Verbindungen zu Verbindungen, die über die durch den `aws:sourceVpce` Bedingungsschlüssel angegebenen Schnittstellenendpunkte hergestellt werden. Beispielsweise könnte der erste Schnittstellenendpunkt den Zugriff über die SageMaker AI-Konsole ermöglichen. Der zweite Schnittstellenendpunkt könnte den Zugriff über die SageMaker API ermöglichen.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Beispiel 3: Verbindungen von IP-Adressen zulassen mit `aws:SourceIp` **
Die folgende Richtlinie erlaubt nur Verbindungen aus dem angegebenen IP-Adressbereich unter Verwendung des `aws:SourceIp` Bedingungsschlüssels.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Beispiel 4: Verbindungen von IP-Adressen über einen Schnittstellenendpunkt zulassen mit `aws:VpcSourceIp`**
Wenn Sie MLflow über einen Schnittstellenendpunkt auf SageMaker AI zugreifen, können Sie den `aws:VpcSourceIp` Bedingungsschlüssel verwenden, um Verbindungen nur aus dem angegebenen IP-Adressbereich innerhalb des Subnetzes zuzulassen, in dem Sie den Schnittstellenendpunkt erstellt haben, wie in der folgenden Richtlinie dargestellt:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Herstellen einer Verbindung zu einer Notebook-Instance über einen VPC-Schnittstellenendpunkt
Anstatt eine Verbindung über das Internet herzustellen, können Sie einen [Schnittstellenendpunkt](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) in Ihrer Virtual Private Cloud (VPC) für die Verbindung mit Ihrer Notebook-Instance verwenden. Wenn Sie einen VPC-Schnittstellenendpunkt verwenden, erfolgt die Kommunikation zwischen Ihrer VPC und der Notebook-Instance vollständig und sicher über das AWS -Netzwerk.
SageMaker Notebook-Instances unterstützen Endpunkte der [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) -Schnittstelle, die von betrieben werden. [AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Jeder VPC-Endpunkt wird durch eine oder mehrere [Elastic Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert.
**Anmerkung**
Bevor Sie einen VPC-Schnittstellen-Endpunkt für die Verbindung mit einer Notebook-Instance erstellen, erstellen Sie einen Schnittstellen-VPC-Endpunkt, um eine Verbindung zur SageMaker API herzustellen. Wenn Benutzer [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) aufrufen, um die URL für die Verbindung mit der Notebook-Instance zu erhalten, geht dieser Aufruf auch über den Schnittstellen-VPC-Endpunkt. Weitere Informationen finden Sie unter [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md).
Sie können einen Schnittstellenendpunkt erstellen, um eine Verbindung zu Ihrer Notebook-Instance herzustellen, indem Sie entweder die Befehle AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI) verwenden. Anweisungen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint). Stellen Sie sicher, dass Sie einen Schnittstellenendpunkt für alle Subnetze in Ihrer VPC erstellen, von dem aus Sie sich mit der Notebook-Instance verbinden möchten.
Wenn Sie den Schnittstellenendpunkt erstellen, geben Sie **aws.sagemaker an. *Region*.notebook** als Dienstnamen. Nachdem Sie einen VPC-Endpunkt erstellt haben, aktivieren Sie das private DNS für Ihren VPC-Endpunkt. Jeder, der die SageMaker API, die oder die Konsole verwendet AWS CLI, um von der VPC aus eine Verbindung zur Notebook-Instance herzustellen, stellt über den VPC-Endpunkt statt über das öffentliche Internet eine Verbindung zur Notebook-Instance her.
SageMaker Notebook-Instances unterstützen VPC-Endpunkte überall dort, AWS-Regionen wo sowohl [Amazon VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) als auch [SageMaker KI](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) verfügbar sind.
**Topics**
+ [Verbinden Ihres privaten Netzwerks mit Ihrer VPC](#notebook-private-link-vpn-nbi)
+ [Erstellen Sie eine VPC-Endpunktrichtlinie für SageMaker AI Notebook-Instances](#nbi-private-link-policy)
+ [Beschränken des Zugriffs auf Verbindungen von innerhalb Ihrer VPC](#notebook-private-link-restrict)
## Verbinden Ihres privaten Netzwerks mit Ihrer VPC
Um über Ihre VPC eine Verbindung zu Ihrer Notebook-Instance herzustellen, müssen Sie entweder eine Verbindung von einer Instance herstellen, die sich innerhalb der VPC befindet, oder Ihr privates Netzwerk mit Ihrer VPC verbinden, indem Sie ein AWS Virtual Private Network ()Site-to-Site VPN oder verwenden. Direct Connect Weitere Informationen dazu Site-to-Site VPN finden Sie unter [VPN-Verbindungen](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Weitere Informationen dazu AWS Direct Connect finden Sie unter [Verbindung erstellen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) im *AWS Direct Connect-Benutzerhandbuch*.
## Erstellen Sie eine VPC-Endpunktrichtlinie für SageMaker AI Notebook-Instances
Sie können eine Richtlinie für Amazon VPC-Endpunkte für SageMaker Notebook-Instances erstellen, um Folgendes anzugeben:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC User Guide*.
Das folgende Beispiel einer VPC-Endpunktrichtlinie gibt an, dass alle Benutzer, die Zugriff auf den Endpunkt haben, auch auf die Notebook-Instance mit dem Namen `myNotebookInstance` zugreifen können.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
"Principal": "*"
}
]
}
```
Der Zugriff auf weitere Notebook-Instances wird verweigert.
## Beschränken des Zugriffs auf Verbindungen von innerhalb Ihrer VPC
Selbst wenn Sie einen Schnittstellenendpunkt in Ihrer VPC einrichten, können Benutzer außerhalb der VPC sich über das Internet mit der Notebook-Instance verbinden.
**Wichtig**
Wenn Sie eine IAM-Richtlinie anwenden, die einer der folgenden ähnelt, können Benutzer nicht über die Konsole auf die angegebene Instance SageMaker APIs oder die Notebook-Instance zugreifen.
Zum Beschränken des Zugriffs ausschließlich auf Verbindungen von innerhalb Ihrer VPC erstellen Sie eine AWS Identity and Access Management -Richtlinie, die den Zugriff ausschließlich auf Aufrufe beschränkt, die von innerhalb Ihrer VPC ausgehen. Fügen Sie diese Richtlinie dann allen AWS Identity and Access Management Benutzern, Gruppen oder Rollen hinzu, die für den Zugriff auf die Notebook-Instanz verwendet werden.
**Anmerkung**
Diese Richtlinie erlaubt Verbindungen nur zu Aufrufern innerhalb eines Subnetzes, in dem Sie einen Schnittstellendpunkt erstellt haben.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Wenn Sie den Zugriff auf die Notebook-Instance auf Verbindungen beschränken möchten, die über den Schnittstellenendpunkt hergestellt werden, verwenden Sie den `aws:SourceVpce`-Bedingungsschlüssel anstelle von `aws:SourceVpc:`
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Bei beiden Richtlinienbeispielen wird davon ausgegangen, dass Sie auch einen Schnittstellenendpunkt für die SageMaker API erstellt haben. Weitere Informationen finden Sie unter [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md). Im zweiten Beispiel ist einer der Werte für `aws:SourceVpce` die ID des Schnittstellenendpunkts für die Notebook-Instance. Die andere ist die ID des Schnittstellenendpunkts für die SageMaker API.
Zu den Beispielen für Richtlinien gehört [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html), denn normalerweise ruft man `DescribeNotebookInstance` auf, um sich zu vergewissern, dass das `NotebookInstanceStatus` auch `InService` ist, bevor man versucht, eine Verbindung herzustellen. Beispiel:
```
aws sagemaker describe-notebook-instance \
--notebook-instance-name myNotebookInstance
{
"NotebookInstanceArn":
"arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
"NotebookInstanceName": "myNotebookInstance",
"NotebookInstanceStatus": "InService",
"Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
"InstanceType": "ml.m4.xlarge",
"RoleArn":
"arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
"LastModifiedTime": 1540334777.501,
"CreationTime": 1523050674.078,
"DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
{
"AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
```
**Anmerkung**
Das generierte `presigned-notebook-instance-url`, `AuthorizedUrl`, kann von überall im Internet genutzt werden.
Wenn Sie für diese beiden Aufrufe keine privaten DNS-Hostnamen für Ihren VPC-Endpunkt aktiviert haben oder wenn Sie eine Version des AWS SDK verwenden, die vor dem 13. August 2018 veröffentlicht wurde, müssen Sie die Endpunkt-URL im Aufruf angeben. Zum Beispiel lautet der Aufruf von `create-presigned-notebook-instance-url`:
```
aws sagemaker create-presigned-notebook-instance-url
--notebook-instance-name myNotebookInstance --endpoint-url
VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
```
## Verbinden Ihres privaten Netzwerks mit Ihrer VPC
Um die SageMaker API und SageMaker AI Runtime über Ihre VPC aufzurufen, müssen Sie eine Verbindung von einer Instance innerhalb der VPC herstellen oder Ihr privates Netzwerk mit Ihrer VPC verbinden, indem Sie ein AWS Virtual Private Network ()Site-to-Site VPN oder verwenden. Direct Connect Weitere Informationen dazu Site-to-Site VPN finden Sie unter [VPN-Verbindungen](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Weitere Informationen dazu AWS Direct Connect finden Sie unter [Verbindung erstellen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) im *AWS Direct Connect-Benutzerhandbuch*.
# Geben Sie SageMaker KI Zugriff auf Ressourcen in Ihrer Amazon VPC
SageMaker AI führt standardmäßig die folgenden Jobtypen in einer Amazon Virtual Private Cloud aus.
+ Verarbeitung
+ Training
+ Modellieren Sie Hosting
+ Batch-Transformation
+ Amazon SageMaker Clarify
+ SageMaker KI-Zusammenstellung
Container für diese Jobs greifen jedoch über das Internet auf AWS Ressourcen zu — wie die Amazon Simple Storage Service (Amazon S3) -Buckets, in denen Sie Trainingsdaten und Modellartefakte speichern.
Um den Zugriff auf Ihre Daten- und Auftrags-Container zu kontrollieren, empfehlen wir Ihnen, eine private VPC zu erstellen und so zu konfigurieren, dass sie nicht über das Internet zugänglich sind. Informationen zum Erstellen und Konfigurieren einer VPC finden Sie unter [Erste Schritte mit Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html) im *Amazon VPC Benutzerhandbuch*. Die Verwendung einer VPC trägt zum Schutz Ihrer Auftrags-Container und Daten bei, da Sie Ihre VPC so konfigurieren können, dass sie nicht mit dem Internet verbunden ist. Die Verwendung einer VPC ermöglicht es Ihnen auch, den gesamten Netzwerkverkehr in und aus Ihren Auftrags-Containern mithilfe von VPC-Flow-Protokollen zu überwachen. Weitere Informationen finden Sie unter [VPC-Flow-Protokolle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) im *Benutzerhandbuch für Amazon VPC*.
Sie legen Ihre private VPC-Konfiguration fest, wenn Sie Aufträge erstellen, indem Sie Subnetze und Sicherheitsgruppen angeben. Wenn Sie die Subnetze und Sicherheitsgruppen angeben, erstellt SageMaker KI *elastische Netzwerkschnittstellen*, die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. Netzwerkschnittstellen ermöglichen es Ihren Auftrag-Containern, sich mit Ressourcen in Ihrer VPC zu verbinden. Informationen über Netzwerkschnittstellen finden Sie unter [Elastic Netzwerkschnittstellen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) im *Amazon VPC Benutzerhandbuch*.
Sie geben eine VPC-Konfiguration innerhalb des `VpcConfig` Objekts der [CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)Operation oder [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)Operation an. Wenn Sie beim Erstellen eines Trainingsjobs eine VPC-Konfiguration angeben, erhält Ihr Modell Zugriff auf Ressourcen innerhalb Ihrer VPC.
Die Angabe einer VPC-Konfiguration allein ändert den Aufrufpfad nicht. Um innerhalb einer VPC eine Verbindung zu Amazon SageMaker AI herzustellen, erstellen Sie einen VPC-Endpunkt und rufen Sie ihn auf. Weitere Informationen finden Sie unter [Connect zu SageMaker KI in Ihrer VPC her](interface-vpc-endpoint.md).
**Topics**
+ [Geben Sie SageMaker KI-Verarbeitungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC](process-vpc.md)
+ [Geben Sie SageMaker KI-Schulungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC](train-vpc.md)
+ [Geben Sie SageMaker KI-gehosteten Endpunkten Zugriff auf Ressourcen in Ihrer Amazon VPC](host-vpc.md)
+ [Geben Sie dem Batch-Transformationsauftrag Zugriff auf Ressourcen in Ihrer Amazon VPC](batch-vpc.md)
+ [Gewähren Sie Amazon SageMaker Clarify Jobs Zugriff auf Ressourcen in Ihrer Amazon VPC](clarify-vpc.md)
+ [Geben Sie SageMaker KI-Kompilierungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC](neo-vpc.md)
+ [Geben Sie Inference Empfehlungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC](inference-recommender-vpc-access.md)
# Geben Sie SageMaker KI-Verarbeitungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC
Um den Zugriff auf Ihre Daten und die Verarbeitung von Aufträgen zu kontrollieren, erstellen Sie eine Amazon-VPC mit privaten Subnetzen. Informationen zum Erstellen und Konfigurieren einer VPC finden Sie unter [Erste Schritte mit Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) im *Amazon VPC Benutzerhandbuch*.
Sie können den gesamten Netzwerkverkehr in und aus Ihren Verarbeitungscontainern mit Hilfe von VPC-Flow-Protokollen überwachen. Weitere Informationen finden Sie unter [VPC-Flow-Protokolle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) im *Benutzerhandbuch für Amazon VPC*.
In diesem Dokument wird erklärt, wie Sie Amazon VPC-Konfigurationen für die Verarbeitung von Aufträgen hinzufügen.
## Konfigurieren Sie einen Verarbeitungsauftrag für Amazon VPC-Zugriff
Sie konfigurieren den Verarbeitungsjob, indem Sie die Subnetze und die Sicherheitsgruppe IDs innerhalb der VPC angeben. Sie müssen das Subnetz für den Verarbeitungscontainer nicht angeben. Amazon SageMaker AI ruft den Verarbeitungscontainer automatisch aus Amazon ECR ab. Weitere Informationen zur Verarbeitung von Containern finden Sie unter [Workloads zur Datentransformation mit SageMaker Verarbeitung](processing-job.md).
Beim Erstellen eines Verarbeitungsauftrags können Sie Subnetze und Sicherheitsgruppen in Ihrer VPC entweder mithilfe der SageMaker AI-Konsole oder der API angeben.
Um die API zu verwenden, geben Sie die Subnetze und die Sicherheitsgruppe IDs im `NetworkConfig.VpcConfig` Parameter des Vorgangs an. [ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) SageMaker AI verwendet die Subnetz- und Sicherheitsgruppendetails, um die Netzwerkschnittstellen zu erstellen und sie an die Verarbeitungscontainer anzuhängen. Die Netzwerkschnittstellen versorgen die Verarbeitungscontainer mit einer Netzwerkverbindung innerhalb Ihrer VPC. Dadurch kann der Verarbeitungsauftrag eine Verbindung zu Ressourcen herstellen, die in Ihrer VPC vorhanden sind.
Im Folgenden finden Sie ein Beispiel für den `VpcConfig`-Parameter, den Sie in Ihren Aufruf der `CreateProcessingJob`-Operation aufnehmen:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurieren Sie Ihre private VPC für die SageMaker KI-Verarbeitung
Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker KI-Verarbeitungsaufträge die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter [Arbeiten mit VPCs und Subnetzen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) im *Amazon VPC-Benutzerhandbuch*.
**Topics**
+ [Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben](#process-vpc-ip)
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#process-vpc-s3)
+ [Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3](#process-vpc-policy)
+ [Konfigurieren der Routing-Tabellen](#process-vpc-route-table)
+ [Konfigurieren der VPC-Sicherheitsgruppe](#process-vpc-groups)
+ [Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC](#process-vpc-nat)
+ [Überwachen Sie SageMaker Amazon-Verarbeitungsaufträge mit CloudWatch Protokollen und Metriken](#process-vpc-cloudwatch)
### Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Verarbeitungsauftrag besitzen. Weitere Informationen finden Sie unter [VPC and Subnet Sizing for IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) im *Amazon VPC-Benutzerhandbuch*.
### Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC so konfigurieren, dass die Verarbeitungscontainer keinen Zugang zum Internet haben, können sie sich nicht mit den Amazon-S3-Buckets verbinden, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch das Erstellen eines VPC-Endpunkts gewähren Sie den Verarbeitungscontainern Zugriff auf die Buckets, in denen Sie Ihre Daten und speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter [Endpunkte für Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**So erstellen Sie einen S3-VPC-Endpunkt:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints (Endpunkte)** und anschließend **Create Endpoint (Endpunkt erstellen)** aus.
1. **Wählen Sie für **Service Name com.amazonaws**. *region*.s3**, wobei der Name der Region *region* ist, in der sich Ihre VPC befindet.
1. Wählen Sie unter **VPC** die VPC aus, die Sie für diesen Endpunkt verwenden möchten.
1. Für **Configure route tables** wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt automatisch jeder von Ihnen ausgewählten Routing-Tabelle eine Route hinzu, über die der S3-Datenverkehr an den neuen Endpunkt geleitet wird.
1. Wählen Sie unter **Policy (Richtlinie)** die Option **Full Access (Vollzugriff)** aus. So gewähren Sie allen Benutzern und Services innerhalb der VPC Vollzugriff auf den S3-Service. Wählen Sie **Custom (Benutzerdefiniert)** aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter [Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3](#process-vpc-policy).
### Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3
Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf S3 gewährt. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter [Verwendung von Endpunktrichtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter [Verwendung von Amazon S3 Bucket-Richtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Einschränken der Paketinstallation auf den Verarbeitungscontainer
Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Verarbeitungscontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesem Repository installieren, erstellen Sie eine benutzerdefinierte Endpunkt-Richtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Konfigurieren der Routing-Tabellen
Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) funktioniert. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Verarbeitungsaufträgen verwenden, durch die Konfiguration der Endpunkt-Routing-Tabellen aufgelöst werden. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing für Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.
### Konfigurieren der VPC-Sicherheitsgruppe
Bei der verteilten Verarbeitung müssen Sie die Kommunikation zwischen den verschiedenen Containern desselben Verarbeitungsauftrags zulassen. Konfigurieren Sie dazu eine Regel für Ihre Sicherheitsgruppe, mit der eingehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zugelassen werden. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC
Wenn Sie Ihre Modelle mit Ressourcen außerhalb der VPC verbinden, in der sie ausgeführt werden, gehen Sie wie folgt vor:
+ **Connect zu anderen AWS Services** herstellen — Wenn Ihr Modell Zugriff auf einen AWS Service benötigt, der Amazon VPC-Schnittstellenendpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Service herzustellen. Eine Liste der Services, die Schnittstellen-Endpunkte unterstützen, finden Sie AWS PrivateLink im Benutzerhandbuch unter [AWS Services, die sich integrieren lassen](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html). AWS PrivateLink Informationen zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter [Zugreifen auf einen AWS Dienst mithilfe eines Schnittstellen-VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) im AWS PrivateLink Benutzerhandbuch.
+ **Verbindung zu Ressourcen über das Internet** – Wenn Ihre Modelle auf Instances in einer Amazon VPC ausgeführt werden, die kein Subnetz mit Internetzugang hat, haben die Modelle keinen Zugriff auf Ressourcen im Internet. Wenn Ihr Modell Zugriff auf einen AWS Dienst benötigt, der keine VPC-Schnittstellen-Endpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, stellen Sie sicher, dass Sie Ihre Modelle in einem privaten Subnetz ausführen, das über ein öffentliches NAT-Gateway in einem öffentlichen Subnetz Zugriff auf das Internet hat. Nachdem Sie Ihre Modelle im privaten Subnetz ausgeführt haben, konfigurieren Sie Ihre Sicherheitsgruppen und Netzwerkzugriffskontrolllisten (NACLs) so, dass ausgehende Verbindungen vom privaten Subnetz zum öffentlichen NAT-Gateway im öffentlichen Subnetz zugelassen werden. Weitere Informationen finden Sie unter [NAT-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) im Amazon VPC Benutzerhandbuch.
### Überwachen Sie SageMaker Amazon-Verarbeitungsaufträge mit CloudWatch Protokollen und Metriken
Amazon SageMaker AI stellt CloudWatch Amazon-Protokolle und -Metriken zur Überwachung von Trainingsaufträgen bereit. CloudWatch bietet Metriken zu CPU, GPU, Arbeitsspeicher, GPU-Speicher und Festplatte sowie Ereignisprotokollierung. Weitere Informationen zur Überwachung von SageMaker Amazon-Verarbeitungsaufträgen finden Sie unter [SageMaker Amazon-KI-Metriken bei Amazon CloudWatch](monitoring-cloudwatch.md) und[SageMaker KI-Jobmetriken](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Geben Sie SageMaker KI-Schulungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC
**Anmerkung**
Für Trainingsaufträge können Sie nur Subnetze mit einer Standard-Tenancy-VPC konfigurieren, in der Ihre Instance auf gemeinsam genutzter Hardware ausgeführt wird. Weitere Informationen zum Tenancy-Attribut für VPCs finden Sie unter [Dedicated](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) Instances.
## Konfigurieren Sie einen Trainingsjob für Amazon VPC-Zugang
Um den Zugriff auf Ihre Trainingsaufträge zu kontrollieren, führen Sie sie in einer Amazon-VPC mit privaten Subnetzen aus, die keinen Internetzugang haben.
Sie konfigurieren den Trainingsjob für die Ausführung in der VPC, indem Sie deren Subnetze und Sicherheitsgruppe angeben. IDs Sie müssen das Subnetz für den Container des Trainingsauftrags nicht angeben. Amazon SageMaker AI ruft das Trainingscontainer-Image automatisch aus Amazon ECR ab.
Wenn Sie einen Trainingsjob erstellen, können Sie die Subnetze und Sicherheitsgruppen in Ihrer VPC mithilfe der Amazon SageMaker AI-Konsole oder der API angeben.
Um die API zu verwenden, geben Sie die Subnetze und die Sicherheitsgruppe IDs im `VpcConfig` Parameter des Vorgangs an. [ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) SageMaker KI verwendet die Subnetz- und Sicherheitsgruppendetails, um die Netzwerkschnittstellen zu erstellen, und hängt sie an die Trainingscontainer an. Die Netzwerkschnittstellen versorgen das Trainingscontainer mit einer Netzwerkverbindung innerhalb Ihrer VPC. Dadurch kann der Trainingsjob eine Verbindung zu Ressourcen herstellen, die in Ihrer VPC vorhanden sind.
Im Folgenden finden Sie ein Beispiel für den `VpcConfig`-Parameter, den Sie in Ihren Aufruf der `CreateTrainingJob`-Operation aufnehmen:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurieren Sie Ihre private VPC für SageMaker KI-Training
Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker KI-Schulungsjobs die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter [Arbeiten mit VPCs und Subnetzen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) im *Amazon VPC-Benutzerhandbuch*.
**Topics**
+ [Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben](#train-vpc-ip)
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#train-vpc-s3)
+ [Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3](#train-vpc-policy)
+ [Konfigurieren der Routing-Tabellen](#train-vpc-route-table)
+ [Konfigurieren der VPC-Sicherheitsgruppe](#train-vpc-groups)
+ [Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC](#train-vpc-nat)
+ [Überwachen Sie Amazon SageMaker Training Jobs mit CloudWatch Protokollen und Metriken](#train-vpc-cloudwatch)
### Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
Trainings-Instances, die *keinen Elastic Fabric Adapter (EFA) verwenden*, sollten mindestens 2 private IP-Adressen haben. Trainings-Instances, die einen EFA verwenden, sollten mindestens 5 private IP-Adressen haben. Weitere Informationen finden Sie unter [Mehrere IP-Adressen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) im Amazon EC2-Benutzerhandbuch.
Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Trainingsjob haben. Weitere Informationen finden Sie unter [VPC and Subnet Sizing for IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) im *Amazon VPC-Benutzerhandbuch*.
### Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC so konfigurieren, dass Trainingscontainer keinen Zugriff auf das Internet haben, können sie keine Verbindung zu den Amazon-S3-Buckets herstellen, die Ihre Trainingsdaten enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch das Erstellen eines VPC-Endpunkts, geben Sie den Trainingscontainern Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter [Endpunkte für Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**So erstellen Sie einen S3-VPC-Endpunkt:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints (Endpunkte)** und anschließend **Create Endpoint (Endpunkt erstellen)** aus.
1. **Suchen Sie nach **dem Servicenamen** nach com.amazonaws. *region*.s3**, wobei der Name der Region *region* ist, in der sich Ihre VPC befindet.
1. Wählen Sie den **Gateway**-Typ.
1. Wählen Sie unter **VPC** die VPC aus, die Sie für diesen Endpunkt verwenden möchten.
1. Für **Configure route tables** wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt automatisch jeder von Ihnen ausgewählten Routing-Tabelle eine Route hinzu, über die der S3-Datenverkehr an den neuen Endpunkt geleitet wird.
1. Wählen Sie unter **Policy (Richtlinie)** die Option **Full Access (Vollzugriff)** aus. So gewähren Sie allen Benutzern und Services innerhalb der VPC Vollzugriff auf den S3-Service. Wählen Sie **Custom (Benutzerdefiniert)** aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter [Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3](#train-vpc-policy).
### Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3
Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf S3 gewährt. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter [Verwendung von Endpunktrichtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter [Verwendung von Amazon S3 Bucket Richtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Einschränken der Paketinstallation auf den Trainingscontainer
Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Trainingscontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesem Repository installieren, erstellen Sie eine benutzerdefinierte Endpunkt-Richtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Konfigurieren der Routing-Tabellen
Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) funktioniert. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Trainingsaufgaben verwenden, durch die Konfiguration der Endpunkt-Routing-Tabellen aufgelöst werden. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing für Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.
### Konfigurieren der VPC-Sicherheitsgruppe
In verteilten Trainings müssen Sie die Kommunikation zwischen den verschiedenen Containern desselben Trainingsauftrags zulassen. Konfigurieren Sie dazu eine Regel für Ihre Sicherheitsgruppe, mit der eingehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zugelassen werden. Stellen Sie bei EFA-fähigen Instances sicher, dass sowohl eingehende als auch ausgehende Verbindungen den gesamten Datenverkehr aus derselben Sicherheitsgruppe zulassen. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) im *Amazon Virtual Private Cloud Benutzerhandbuch*.
### Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC
Wenn Sie Ihre VPC so konfigurieren, dass sie keinen Internetzugriff hat, haben Trainingsaufträge, die diese VPC verwenden, keinen Zugriff auf Ressourcen außerhalb Ihrer VPC. Wenn der Trainingsjob Ressourcen außerhalb Ihrer VPC benötigt, stellen Sie mithilfe einer der folgenden Optionen den entsprechenden Zugriff her:
+ Wenn Ihr Schulungsjob Zugriff auf einen AWS Dienst benötigt, der VPC-Schnittstellen-Endpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Services, die Schnittstellenendpunkte unterstützen, finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) im *Amazon Virtual Private Cloud Benutzerhandbuch*. Informationen zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
+ Wenn Ihr Ausbildungsjob Zugriff auf einen AWS Dienst benötigt, der keine VPC-Schnittstellen-Endpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT-Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Weitere Informationen zum Einrichten eines NAT-Gateway für Ihre VPC finden Sie unter [Szenario 2: VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) im *Amazon Virtual Private Cloud-Benutzerhandbuch*.
### Überwachen Sie Amazon SageMaker Training Jobs mit CloudWatch Protokollen und Metriken
Amazon SageMaker AI stellt CloudWatch Amazon-Protokolle und -Metriken zur Überwachung von Trainingsaufträgen bereit. CloudWatch bietet Metriken zu CPU, GPU, Arbeitsspeicher, GPU-Speicher und Festplatte sowie Ereignisprotokollierung. Weitere Informationen zur Überwachung von SageMaker Amazon-Schulungsjobs finden Sie unter [SageMaker Amazon-KI-Metriken bei Amazon CloudWatch](monitoring-cloudwatch.md) und[SageMaker KI-Jobmetriken](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Geben Sie SageMaker KI-gehosteten Endpunkten Zugriff auf Ressourcen in Ihrer Amazon VPC
## Ein Modell für Amazon VPC Access konfigurieren
Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den `VpcConfig` Anforderungsparameter der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)API oder geben Sie diese Informationen an, wenn Sie ein Modell in der SageMaker AI-Konsole erstellen. SageMaker KI verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Modellcontainer anzuhängen. Die Netzwerkschnittstellen stellen Ihren Modellcontainern eine Netzwerkverbindung innerhalb Ihrer VPC zur Verfügung, die nicht mit dem Internet verbunden ist. Außerdem kann Ihr Modell auf diese Weise eine Verbindung zu Ressourcen in Ihrer privaten VPC herstellen.
**Anmerkung**
Sie müssen mindestens zwei Subnetze in verschiedenen Availability Zones in Ihrer privaten VPC erstellen, auch wenn Sie nur eine Hosting-Instance haben.
Im Folgenden sehen Sie ein Beispiel des Parameters `VpcConfig`, den Sie in Ihrem Aufruf zu `CreateModel` hinzufügen:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurieren Sie Ihre private VPC für SageMaker KI-Hosting
Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker KI-Modelle die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter [Arbeiten mit VPCs und Subnetzen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) im *Amazon VPC-Benutzerhandbuch*.
**Topics**
+ [Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben](#host-vpc-ip)
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#host-vpc-s3)
+ [Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken](#host-vpc-policy)
+ [Hinzufügen von Berechtigungen für den Endpunktzugriff für Container, die in einer VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien](#host-vpc-endpoints)
+ [Konfigurieren der Routing-Tabellen](#host-vpc-route-table)
+ [Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC](#model-vpc-nat)
### Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
Trainings-Instances, die keinen Elastic Fabric Adapter (EFA) verwenden, sollten mindestens 2 private IP-Adressen haben. Trainings-Instances, die einen EFA verwenden, sollten mindestens 5 private IP-Adressen haben. Weitere Informationen finden Sie unter [Mehrere IP-Adressen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) im Amazon EC2-Benutzerhandbuch.
### Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC so konfigurieren, dass Modellcontainer keinen Zugang zum Internet haben, können sie sich nicht mit den Amazon-S3-Buckets verbinden, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch das Erstellen eines VPC-Endpunkts, geben Sie den Modellcontainern Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter [Endpunkte für Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**So erstellen Sie einen Amazon S3 VPC-Endpunkt:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints (Endpunkte)** und anschließend **Create Endpoint (Endpunkt erstellen)** aus.
1. **Wählen Sie für **Service Name com.amazonaws**. *region*.s3**, wo *region* ist der Name der AWS Region, in der sich Ihre VPC befindet.
1. Wählen Sie unter **VPC** die VPC aus, die Sie für diesen Endpunkt verwenden möchten.
1. Wählen Sie unter **Routing-Tabellen konfigurieren** die zu verwendenden Routing-Tabellen für den Endpunkt aus. Der VPC-Service fügt jeder von Ihnen gewählten Routentabelle automatisch eine Route hinzu, die den Amazon S3-Datenverkehr an den neuen Endpunkt weiterleitet.
1. Wählen Sie für **Richtlinie** **Voller Zugriff**, um jedem Benutzer oder Service innerhalb der VPC den vollen Zugriff auf den Amazon S3-Service zu ermöglichen. Wählen Sie **Custom (Benutzerdefiniert)** aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter [Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken](#host-vpc-policy).
### Verwenden Sie eine benutzerdefinierte Endpunktrichtlinie, um den Zugriff auf Amazon S3 einzuschränken
Die Standard-Endpunktrichtlinie ermöglicht jedem Benutzer oder Service in Ihrer VPC den vollständigen Zugriff auf Amazon Simple Storage Service (Amazon S3). Um den Zugriff auf Amazon S3 weiter einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter [Verwendung von Endpunktrichtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).
Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter [Verwendung von Amazon S3 Bucket Richtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Einschränken der Paketinstallation im Modellcontainer mit einer benutzerdefinierten Endpunktrichtlinie
Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Modellcontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesen Repositorys installieren, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Hinzufügen von Berechtigungen für den Endpunktzugriff für Container, die in einer VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien
Die `SageMakerFullAccess`-verwaltete Richtlinie enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es SageMaker KI, eine elastic network interface zu erstellen und sie an Modellcontainer anzuhängen, die in einer VPC ausgeführt werden. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um die für den VPC-Zugriff konfigurierten Modelle zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen über die verwalteten `SageMakerFullAccess`-Richtlinie finden Sie unter [AWS verwaltete Richtlinie: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Konfigurieren der Routing-Tabellen
Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) funktioniert. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Modellen verwenden, aufgelöst werden, indem Sie die Endpunkt-Routing-Tabellen konfigurieren. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing für Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.
### Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC
Wenn Sie Ihre VPC so konfigurieren, dass sie keinen Internetzugriff hat, haben Modelle, die diese VPC verwenden, keinen Zugriff auf Ressourcen außerhalb Ihrer VPC. Wenn Ihr Modell Zugriff auf Ressourcen außerhalb Ihrer VPC benötigt, stellen Sie mithilfe einer der folgenden Optionen den entsprechenden Zugriff her:
+ Wenn Ihr Modell Zugriff auf einen AWS Dienst benötigt, der VPC-Schnittstellen-Endpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Services, die Schnittstellenendpunkte unterstützen, finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) im *Amazon VPC Benutzerhandbuch*. Informationen zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) im *Amazon VPC-Benutzerhandbuch*.
+ Wenn Ihr Modell Zugriff auf einen AWS Dienst benötigt, der keine VPC-Schnittstellen-Endpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT-Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Weitere Informationen zum Einrichten eines NAT-Gateway für Ihre VPC finden Sie unter [Szenario 2: VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) im *Amazon Virtual Private Cloud-Benutzerhandbuch*.
# Geben Sie dem Batch-Transformationsauftrag Zugriff auf Ressourcen in Ihrer Amazon VPC
Um den Zugriff auf Ihre Daten und Batch-Transformationsaufträge zu kontrollieren, empfehlen wir Ihnen, eine private Amazon VPC zu erstellen und sie so zu konfigurieren, dass Ihre Aufträge nicht über das öffentliche Internet zugänglich sind. Sie legen beim Erstellen eines Modells Ihre private VPC-Konfiguration fest, indem Sie Subnetze und Sicherheitsgruppen angeben. Anschließend geben Sie das gleiche Modell an wie bei der Erstellung eines Stapeltransformationsauftrags. Wenn Sie die Subnetze und Sicherheitsgruppen angeben, erstellt SageMaker KI *elastische Netzwerkschnittstellen*, die Ihren Sicherheitsgruppen in einem der Subnetze zugeordnet sind. Über Netzwerkschnittstellen können Ihre Modellcontainer eine Verbindung zu Ressourcen in Ihrer VPC herstellen. Informationen über Netzwerkschnittstellen finden Sie unter [Elastische Netzwerkschnittstellen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) im *Amazon VPC Benutzerhandbuch*.
In diesem Dokument wird erklärt, wie Amazon VPC-Konfigurationen für Batch-Transformationsauftrags hinzugefügt werden.
## Konfigurieren Sie einen Batch-Transformationsauftrag für Amazon VPC-Zugriff
Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den `VpcConfig` Anforderungsparameter der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)API oder geben Sie diese Informationen an, wenn Sie ein Modell in der SageMaker AI-Konsole erstellen. Geben Sie dann dasselbe Modell im `ModelName` Anforderungsparameter der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)API oder im Feld **Modellname** an, wenn Sie einen Transformationsjob in der SageMaker AI-Konsole erstellen. SageMaker KI verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Modellcontainer anzuhängen. Die Netzwerkschnittstellen stellen Ihren Modellcontainern eine Netzwerkverbindung innerhalb Ihrer VPC zur Verfügung, die nicht mit dem Internet verbunden ist. Außerdem kann der Transformationsauftrag auf diese Weise eine Verbindung zu den Ressourcen in Ihrer privaten VPC herstellen.
Im Folgenden sehen Sie ein Beispiel des Parameters `VpcConfig`, den Sie in Ihrem Aufruf zu `CreateModel` hinzufügen:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Wenn Sie ein Modell mithilfe des API-Vorgangs `CreateModel` erstellen, muss die IAM-Ausführungsrolle, die Sie zum Erstellen Ihres Modells verwenden, die in [CreateModel API: Berechtigungen für die Ausführungsrolle](sagemaker-roles.md#sagemaker-roles-createmodel-perms) beschriebenen Berechtigungen enthalten, einschließlich der folgenden für eine private VPC erforderlichen Berechtigungen.
Wenn Sie beim Erstellen eines Modells in der Konsole im Abschnitt **Modelleinstellungen** die Option **Neue Rolle erstellen** auswählen, enthält die [AmazonSageMakerFullAccess ](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor)Richtlinie, mit der die Rolle erstellt wurde, bereits diese Berechtigungen. Wenn Sie **Eine benutzerdefinierte IAM-Rolle eingeben** oder **Vorhandene Rolle verwenden** auswählen, muss dem von Ihnen angegebenen Rollen-ARN eine Ausführungsrichtlinie mit den folgenden Berechtigungen zugewiesen sein.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
```
## Konfigurieren Sie Ihre private VPC für SageMaker AI Batch Transform
Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker KI-Batch-Transformationsjobs die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter [Arbeiten mit VPCs und Subnetzen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) im *Amazon VPC-Benutzerhandbuch*.
**Topics**
+ [Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben](#batch-vpc-ip)
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#batch-vpc-s3)
+ [Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3](#batch-vpc-policy)
+ [Konfigurieren der Routing-Tabellen](#batch-vpc-route-table)
+ [Konfigurieren der VPC-Sicherheitsgruppe](#batch-vpc-groups)
+ [Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC](#batch-vpc-nat)
### Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Transformationsauftrag haben. Weitere Informationen finden Sie unter [VPC and Subnet Sizing for IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) im *Amazon VPC-Benutzerhandbuch*.
### Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC so konfigurieren, dass Modellcontainer keinen Zugang zum Internet haben, können sie sich nicht mit den Amazon-S3-Buckets verbinden, die Ihre Daten enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch das Erstellen eines VPC-Endpunkts, geben Sie den Modellcontainern Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter [Endpunkte für Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**So erstellen Sie einen S3-VPC-Endpunkt:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints (Endpunkte)** und anschließend **Create Endpoint (Endpunkt erstellen)** aus.
1. **Wählen Sie für **Service Name com.amazonaws**. *region*.s3**, wobei der Name der Region *region* ist, in der sich Ihre VPC befindet.
1. Wählen Sie unter **VPC** die VPC aus, die Sie für diesen Endpunkt verwenden möchten.
1. Für **Configure route tables** wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt automatisch jeder von Ihnen ausgewählten Routing-Tabelle eine Route hinzu, über die der S3-Datenverkehr an den neuen Endpunkt geleitet wird.
1. Wählen Sie unter **Policy (Richtlinie)** die Option **Full Access (Vollzugriff)** aus. So gewähren Sie allen Benutzern und Services innerhalb der VPC Vollzugriff auf den S3-Service. Wählen Sie **Custom (Benutzerdefiniert)** aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter [Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3](#batch-vpc-policy).
### Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3
Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf S3 gewährt. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter [Verwendung von Endpunktrichtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter [Verwendung von Amazon S3 Bucket-Richtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Einschränken der Paketinstallation auf dem Modellcontainer
Mit der Standardrichtlinie für Endpunkte können Benutzer Pakete aus den Amazon Linux- und Amazon Linux-2-Repositorys auf dem Trainingscontainer installieren. Wenn Sie nicht möchten, dass Benutzer Pakete von diesem Repository installieren, erstellen Sie eine benutzerdefinierte Endpunkt-Richtlinie, die ausdrücklich den Zugriff auf die Amazon Linux- und Amazon Linux-2-Repositorys verweigert. Nachfolgend finden Sie eine Beispielrichtlinie, die den Zugriff auf diese Repositorys verweigert:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Konfigurieren der Routing-Tabellen
Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) funktioniert. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Batch-Transformationsaufträgen verwenden, durch die Konfiguration der Endpunkt-Routing-Tabellen aufgelöst werden. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing für Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.
### Konfigurieren der VPC-Sicherheitsgruppe
In verteilten Stapeltransformationen müssen Sie die Kommunikation zwischen den verschiedenen Containern desselben Stapeltransformationsauftrags zulassen. Dazu konfigurieren Sie eine Regel für Ihre Sicherheitsgruppe, die ein- und ausgehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zulässt. Mitglieder derselben Sicherheitsgruppe sollten über alle Ports miteinander kommunizieren können. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Herstellen einer Verbindung mit Ressourcen außerhalb Ihrer VPC
Wenn Sie Ihre VPC so konfigurieren, dass sie keinen Internetzugriff hat, haben Stapeltransformationsaufträge, die diese VPC verwenden, keinen Zugriff auf Ressourcen außerhalb Ihrer VPC. Wenn Ihre Stapeltransformationsaufträge Zugriff auf Ressourcen außerhalb Ihrer VPC benötigen, stellen Sie mithilfe einer der folgenden Optionen den entsprechenden Zugriff her:
+ Wenn Ihr Batch-Transformationsjob Zugriff auf einen AWS Dienst benötigt, der VPC-Schnittstellen-Endpunkte unterstützt, erstellen Sie einen Endpunkt, um eine Verbindung zu diesem Dienst herzustellen. Eine Liste der Services, die Schnittstellenendpunkte unterstützen, finden Sie unter [VPC-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) im *Amazon VPC Benutzerhandbuch*. Informationen zum Erstellen eines Schnittstellen-VPC-Endpunkts finden Sie unter [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) im *Amazon VPC-Benutzerhandbuch*.
+ Wenn Ihr Batch-Transformationsjob Zugriff auf einen AWS Dienst benötigt, der keine VPC-Schnittstellen-Endpunkte unterstützt, oder auf eine Ressource außerhalb von AWS, erstellen Sie ein NAT-Gateway und konfigurieren Sie Ihre Sicherheitsgruppen so, dass ausgehende Verbindungen zugelassen werden. Weitere Informationen zum Einrichten eines NAT-Gateway für Ihre VPC finden Sie unter [Szenario 2: VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) im *Amazon Virtual Private Cloud-Benutzerhandbuch*.
# Gewähren Sie Amazon SageMaker Clarify Jobs Zugriff auf Ressourcen in Ihrer Amazon VPC
Um den Zugriff auf Ihre Daten und SageMaker Clarif-Jobs zu kontrollieren, empfehlen wir Ihnen, eine private Amazon-VPC zu erstellen und diese so zu konfigurieren, dass Ihre Jobs nicht über das öffentliche Internet zugänglich sind. Informationen zum Erstellen und Konfigurieren einer Amazon VPC für die Verarbeitung von Jobs finden Sie unter [Geben Sie SageMaker Verarbeitungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc).
In diesem Dokument wird erklärt, wie zusätzliche Amazon VPC-Konfigurationen hinzugefügt werden, die die Anforderungen für Clarif-Jobs SageMaker erfüllen.
**Topics**
+ [Einen SageMaker Clarif-Job für Amazon VPC Access konfigurieren](#clarify-vpc-config)
+ [Konfigurieren Sie Ihre private Amazon VPC für SageMaker Clarif-Jobs](#clarify-vpc-vpc)
## Einen SageMaker Clarif-Job für Amazon VPC Access konfigurieren
Sie müssen Subnetze und Sicherheitsgruppen angeben, wenn Sie Ihre private Amazon VPC für SageMaker Clarif-Jobs konfigurieren. Außerdem müssen Sie dafür sorgen, dass der Job bei der Berechnung von Verzerrungsmetriken und Feature-Beiträgen, die zur Erklärung von Modellvorhersagen beitragen, Rückschlüsse aus dem SageMaker KI-Modell ziehen kann.
**Topics**
+ [SageMaker Job klären Amazon VPC Subnetze und Sicherheitsgruppen](#clarify-vpc-job)
+ [Ein Modell von Amazon VPC for Inference konfigurieren](#clarify-vpc-model)
### SageMaker Job klären Amazon VPC Subnetze und Sicherheitsgruppen
Subnetze und Sicherheitsgruppen in Ihrer privaten Amazon VPC können einem SageMaker Clarif-Job auf verschiedene Weise zugewiesen werden, je nachdem, wie Sie den Job erstellen.
+ **SageMaker AI-Konsole**: Geben Sie diese Informationen an, wenn Sie den Job im **SageMaker AI-Dashboard** erstellen. **Wählen Sie im Menü **Verarbeitung** die Option **Verarbeitungsaufträge** und anschließend Verarbeitungsauftrag erstellen**. Wählen Sie im Bereich **Netzwerk** die Option **VPC** aus und geben Sie die Subnetze und Sicherheitsgruppen mithilfe der Dropdown-Listen an. Stellen Sie sicher, dass die in diesem Bereich angegebene Option zur Netzwerkisolierung ausgeschaltet ist.
+ **SageMaker API**: Verwenden Sie den `NetworkConfig.VpcConfig` Anforderungsparameter der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API, wie im folgenden Beispiel gezeigt:
```
"NetworkConfig": {
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
}
```
+ **SageMaker Python-SDK**: Verwenden Sie den `NetworkConfig` Parameter der [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API oder API, wie im folgenden Beispiel gezeigt:
```
from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
subnets=[
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2",
],
security_group_ids=[
"sg-0123456789abcdef0",
],
)
```
SageMaker KI verwendet die Informationen, um Netzwerkschnittstellen zu erstellen und sie an den SageMaker Clarify-Job anzuhängen. Die Netzwerkschnittstellen bieten einen SageMaker Clarif-Job mit einer Netzwerkverbindung innerhalb Ihrer Amazon VPC, die nicht mit dem öffentlichen Internet verbunden ist. Sie ermöglichen es dem SageMaker Clarif-Job auch, eine Verbindung zu Ressourcen in Ihrer privaten Amazon-VPC herzustellen.
**Anmerkung**
Die Netzwerkisolationsoption des SageMaker Clarif-Jobs muss ausgeschaltet sein (standardmäßig ist die Option deaktiviert), damit der Clarif-Job mit SageMaker dem Shadow-Endpunkt kommunizieren kann.
### Ein Modell von Amazon VPC for Inference konfigurieren
Um Messwerte für Verzerrungen und die Erklärbarkeit nach dem Training zu berechnen, muss der SageMaker Clarif-Job Rückschlüsse aus dem SageMaker KI-Modell ziehen, das durch den `model_name` Parameter der [Analysekonfiguration](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) für den SageMaker Clarif-Verarbeitungsjob spezifiziert wird. Wenn Sie die `SageMakerClarifyProcessor` API im SageMaker AI Python SDK verwenden, muss der Job alternativ die von der [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)Klasse `model_name` angegebenen Werte abrufen. Um dies zu erreichen, erstellt der SageMaker Clarify-Job einen kurzlebigen Endpunkt mit dem Modell, der als *Shadow-Endpunkt* bezeichnet wird, und wendet dann die Amazon VPC-Konfiguration des Modells auf den Shadow-Endpunkt an.
Um Subnetze und Sicherheitsgruppen in Ihrer privaten Amazon VPC für das SageMaker KI-Modell anzugeben, verwenden Sie den `VpcConfig` Anforderungsparameter der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel)API oder geben Sie diese Informationen an, wenn Sie das Modell mithilfe des SageMaker KI-Dashboards in der Konsole erstellen. Im Folgenden sehen Sie ein Beispiel des Parameters `VpcConfig`, den Sie in Ihrem Aufruf zu `CreateModel` hinzufügen:
```
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Sie können die Anzahl der Instances des Shadow-Endpunkts, die gestartet werden sollen, mit dem `initial_instance_count` Parameter der [Analysekonfiguration](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) für den SageMaker Clarif-Verarbeitungsauftrag angeben. Wenn Sie die `SageMakerClarifyProcessor` API im SageMaker AI Python SDK verwenden, muss der Job alternativ die von der [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)Klasse `instance_count` angegebenen Werte abrufen.
**Anmerkung**
Selbst wenn Sie bei der Erstellung des Shadow-Endpunkts nur eine Instanz anfordern, benötigen Sie mindestens zwei Subnetze in den Modellen [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)in unterschiedlichen Availability Zones. Andernfalls schlägt die Erstellung des Schattenendpunkts mit folgendem Fehler fehl:
ClientError: Fehler beim Hosten des Endpunkts sagemaker-clarify-endpoint-XXX: Fehlgeschlagen. Grund: Es konnten nicht mindestens 2 Availability Zone (n) mit dem angeforderten Instance-Typ YYY gefunden werden, die sich mit SageMaker AI-Subnetzen überschneiden.
Wenn Ihr Modell Modelldateien in Amazon S3 benötigt, muss das Modell Amazon VPC über einen Amazon S3-VPC-Endpunkt verfügen. Weitere Informationen zum Erstellen und Konfigurieren einer Amazon VPC für SageMaker KI-Modelle finden Sie unter[Geben Sie SageMaker KI-gehosteten Endpunkten Zugriff auf Ressourcen in Ihrer Amazon VPC](host-vpc.md).
## Konfigurieren Sie Ihre private Amazon VPC für SageMaker Clarif-Jobs
Im Allgemeinen können Sie die Schritte [unter Konfiguration Ihrer privaten VPC für die SageMaker Verarbeitung befolgen, um Ihre private](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc) Amazon-VPC für SageMaker Clarif-Jobs zu konfigurieren. Hier sind einige Highlights und spezielle Anforderungen für SageMaker Clarif-Jobs.
**Topics**
+ [Verbindung zu Ressourcen außerhalb Ihrer Amazon VPC](#clarify-vpc-nat)
+ [Konfigurieren Sie die Amazon VPC-Sicherheitsgruppe](#clarify-vpc-security-group)
### Verbindung zu Ressourcen außerhalb Ihrer Amazon VPC
Wenn Sie Ihre Amazon VPC so konfigurieren, dass sie keinen öffentlichen Internetzugang hat, ist eine zusätzliche Einrichtung erforderlich, um SageMaker Clarify Jobs Zugriff auf Ressourcen und Services außerhalb Ihrer Amazon VPC zu gewähren. Beispielsweise ist ein Amazon S3 S3-VPC-Endpunkt erforderlich, da ein SageMaker Clarif-Job einen Datensatz aus einem S3-Bucket laden und die Analyseergebnisse in einem S3-Bucket speichern muss. Weitere Informationen finden Sie unter [Erstellen eines Amazon S3 VPC-Endpunkts](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3) für die Erstellungsanleitung. Wenn ein SageMaker Clarif-Job außerdem Rückschlüsse vom Schattenendpunkt abrufen muss, muss er mehrere weitere AWS Dienste aufrufen.
+ **Erstellen Sie einen VPC-Endpunkt für Amazon SageMaker API-Services**: Der SageMaker Clarify-Job muss den Amazon SageMaker API-Service aufrufen, um den Schattenendpunkt zu manipulieren oder ein SageMaker KI-Modell für die Amazon VPC-Validierung zu beschreiben. Sie können den Anleitungen im AWS PrivateLink Blog [Alle SageMaker Amazon-API-Aufrufe sichern mit](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/) folgen, um einen Amazon SageMaker API-VPC-Endpunkt zu erstellen, über den der SageMaker Clarif-Job die Serviceanfragen tätigen kann. Beachten Sie, dass der Servicename des Amazon SageMaker API-Service lautet`com.amazonaws.region.sagemaker.api`, wobei der Name der Region *region* steht, in der sich Ihre Amazon VPC befindet.
+ **Erstellen Sie einen Amazon SageMaker AI Runtime-VPC-Endpunkt**: Der SageMaker Clarify-Job muss den Amazon SageMaker AI-Runtime-Service aufrufen, der die Aufrufe an den Schattenendpunkt weiterleitet. Die Einrichtungsschritte ähneln denen für den Amazon SageMaker API-Service. Beachten Sie, dass der Servicename des Amazon SageMaker AI Runtime-Service lautet`com.amazonaws.region.sagemaker.runtime`, wobei der Name der Region *region* steht, in der sich Ihre Amazon VPC befindet.
### Konfigurieren Sie die Amazon VPC-Sicherheitsgruppe
SageMaker Clarify Jobs unterstützen die verteilte Verarbeitung, wenn zwei oder mehr Verarbeitungsinstanzen auf eine der folgenden Arten angegeben werden:
+ **SageMaker AI-Konsole**: Die **Anzahl der Instanzen** wird im Bereich „**Ressourcenkonfiguration**“ des Fensters **„Auftragseinstellungen**“ auf der Seite „**Verarbeitungsjob erstellen**“ angegeben.
+ **SageMaker API**: Die `InstanceCount` wird angegeben, wenn Sie den Job mit der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API erstellen.
+ **SageMaker Python-SDK**: Das `instance_count` wird bei der Verwendung der [SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API oder der [Prozessor-API](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor) angegeben.
Bei der verteilten Verarbeitung müssen Sie die Kommunikation zwischen den verschiedenen Instances desselben Verarbeitungsauftrags ermöglichen. Konfigurieren Sie dazu eine Regel für Ihre Sicherheitsgruppe, mit der eingehende Verbindungen zwischen Mitgliedern derselben Sicherheitsgruppe zugelassen werden. Weitere Informationen finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
# Geben Sie SageMaker KI-Kompilierungsjobs Zugriff auf Ressourcen in Ihrer Amazon VPC
**Anmerkung**
Für Kompilierungsaufträge können Sie nur Subnetze mit einer Standard-VPC konfigurieren, in denen Ihr Auftrag auf gemeinsam genutzter Hardware läuft. Weitere Informationen zum Tenancy-Attribut für VPCs finden Sie unter [Dedicated](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) Instances.
## Konfigurieren Sie einen Kompilierungsauftrag für Amazon VPC Access
Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den `VpcConfig` Anforderungsparameter der [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)API oder geben Sie diese Informationen an, wenn Sie einen Kompilierungsauftrag in der SageMaker AI-Konsole erstellen. SageMaker AI Neo verwendet diese Informationen, um Netzwerkschnittstellen zu erstellen und sie an Ihre Kompilierungsjobs anzuhängen. Die Netzwerkschnittstellen bieten Kompilierungsaufträge mit einer Netzwerkverbindung innerhalb Ihrer VPC, die nicht mit dem Internet verbunden ist. Sie ermöglichen es Ihrem Kompilierungsauftrag auch, sich mit Ressourcen in Ihrer privaten VPC zu verbinden. Im Folgenden sehen Sie ein Beispiel des Parameters `VpcConfig`, den Sie in Ihrem Aufruf zu `CreateCompilationJob` hinzufügen:
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurieren Sie Ihre private VPC für die SageMaker KI-Kompilierung
Beachten Sie bei der Konfiguration der privaten VPC für Ihre SageMaker KI-Kompilierungsjobs die folgenden Richtlinien. Informationen zur Einrichtung einer VPC finden Sie unter [Arbeiten mit VPCs und Subnetzen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) im *Amazon VPC-Benutzerhandbuch*.
**Topics**
+ [Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben](#neo-vpc-ip)
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#neo-vpc-s3)
+ [Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3](#neo-vpc-policy)
+ [Konfigurieren der Routing-Tabellen](#neo-vpc-route-table)
+ [Konfigurieren der VPC-Sicherheitsgruppe](#neo-vpc-groups)
### Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Kompilierungsauftrag haben. Weitere Informationen finden Sie unter [VPC and Subnet Sizing for IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) im *Amazon VPC-Benutzerhandbuch*.
### Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC so konfigurieren, dass sie den Zugriff auf das Internet blockiert, kann SageMaker Neo keine Verbindung zu den Amazon S3 S3-Buckets herstellen, die Ihre Modelle enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff ermöglicht. Indem Sie einen VPC-Endpunkt erstellen, ermöglichen Sie Ihren SageMaker Neo-Kompilierungsjobs den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern. Wir empfehlen, dass Sie auch eine benutzerdefinierte Richtlinie erstellen, die nur Anforderungen von Ihrer privaten VPC erlaubt, auf Ihre S3-Buckets zuzugreifen. Weitere Informationen finden Sie unter [Endpunkte für Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**So erstellen Sie einen S3-VPC-Endpunkt:**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints (Endpunkte)** und anschließend **Create Endpoint (Endpunkt erstellen)** aus.
1. **Suchen Sie nach **dem Servicenamen** nach com.amazonaws. *region*.s3**, wobei der Name der Region *region* ist, in der sich Ihre VPC befindet.
1. Wählen Sie den **Gateway**-Typ.
1. Wählen Sie unter **VPC** die VPC aus, die Sie für diesen Endpunkt verwenden möchten.
1. Für **Configure route tables** wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt automatisch jeder von Ihnen ausgewählten Routing-Tabelle eine Route hinzu, über die der S3-Datenverkehr an den neuen Endpunkt geleitet wird.
1. Wählen Sie unter **Policy (Richtlinie)** die Option **Full Access (Vollzugriff)** aus. So gewähren Sie allen Benutzern und Services innerhalb der VPC Vollzugriff auf den S3-Service. Wählen Sie **Custom (Benutzerdefiniert)** aus, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter [Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3](train-vpc.md#train-vpc-policy).
### Verwenden einer benutzerdefinierten Endpunktrichtline zum Einschränken des Zugriffs auf S3
Standardmäßig wird über die Endpunktrichtlinie allen Benutzern oder Services in Ihrer VPC Vollzugriff auf S3 gewährt. Um den Zugriff auf S3 einzuschränken, erstellen Sie eine benutzerdefinierte Endpunktrichtlinie. Weitere Informationen finden Sie unter [Verwendung von Endpunktrichtlinien für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Sie können auch eine Bucket-Richtlinie verwenden, um den Zugriff auf Ihre S3-Buckets auf den Datenverkehr zu beschränken, der von Ihrer Amazon VPC kommt. Weitere Informationen finden Sie unter [Verwendung von Amazon S3 Bucket-Richtlinien](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Im Folgenden finden Sie ein Beispiel für eine maßgeschneiderte Richtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Hinzufügen von Berechtigungen für Kompilierungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien
Die verwaltete Richtlinie von `SageMakerFullAccess` enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es SageMaker Neo, eine elastic network interface zu erstellen und sie an einen Kompilierungsjob anzuhängen, der in einer Amazon-VPC ausgeführt wird. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um für den Amazon VPC-Zugriff konfigurierte Modelle zu verwenden.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Weitere Informationen über die verwalteten `SageMakerFullAccess`-Richtlinie finden Sie unter [AWS verwaltete Richtlinie: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Konfigurieren der Routing-Tabellen
Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die Standardlösung von Amazon S3 URLs (z. B.`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) funktioniert. Wenn Sie keine Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die, die Sie zur Angabe der Speicherorte der Daten in Ihren Kompilierungsaufträgen verwenden, durch die Konfiguration der Endpunkt-Routing-Tabellen aufgelöst werden. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing für Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.
### Konfigurieren der VPC-Sicherheitsgruppe
In Ihrer Sicherheitsgruppe für den Kompilierungsauftrag müssen Sie ausgehende Kommunikation zu Ihren Amazon S3 Amazon VPC-Endpunkten und den für den Kompilierungsauftrag verwendeten Subnetz-CIDR-Bereichen zulassen. Weitere Informationen finden Sie unter [Regeln für Sicherheitsgruppen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) und [Zugriffskontrolle auf Services mit Amazon VPC-Endpunkten](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).
# Geben Sie Inference Empfehlungsaufträgen Zugriff auf Ressourcen in Ihrer Amazon VPC
**Anmerkung**
Bei Inference Recommender müssen Sie Ihr Modell bei Model Registry registrieren. Beachten Sie, dass Model Registry nicht zulässt, dass Ihre Modellartefakte oder Ihr Amazon-ECR-Image VPC-beschränkt werden.
Inference Recommender setzt außerdem voraus, dass Ihr Amazon S3-Beispielnutzdatenobjekt nicht VPC-beschränkt ist. Für Ableitungsempfehlungsaufträge können Sie keine benutzerdefinierte Richtlinie erstellen, die nur Anfragen aus Ihrer privaten VPC den Zugriff auf Ihre Amazon-S3-Buckets erlaubt.
Um Subnetze und Sicherheitsgruppen in Ihrer privaten VPC anzugeben, verwenden Sie den `RecommendationJobVpcConfig` Anforderungsparameter der [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)API oder geben Sie Ihre Subnetze und Sicherheitsgruppen an, wenn Sie einen Empfehlungsjob in der SageMaker AI-Konsole erstellen.
Inference Recommender verwendet diese Informationen, um Endpunkte zu erstellen. Bei der Bereitstellung von Endpunkten erstellt SageMaker KI Netzwerkschnittstellen und fügt sie Ihren Endpunkten hinzu. Die Netzwerkschnittstellen bieten Ihren Endpunkten eine Netzwerkverbindung zu Ihrer VPC. Es folgt ein Beispiel für den Parameter `VpcConfig`, den Sie in einen Aufruf von `CreateInferenceRecommendationsJob` aufnehmen:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Weitere Informationen zur Konfiguration Ihrer Amazon VPC für die Verwendung mit Inferenz-Empfehlungsaufträgen finden Sie in den folgenden Themen.
**Topics**
+ [Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben](#inference-recommender-vpc-access-subnets)
+ [Erstellen eines Amazon S3 VPC-Endpunkts](#inference-recommender-vpc-access-endpoint)
+ [Hinzufügen von Berechtigungen für Inferenz-Empfehlungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien](#inference-recommender-vpc-access-permissions)
+ [Konfigurieren von Routing-Tabellen](#inference-recommender-vpc-access-route-tables)
+ [Konfigurieren der VPC-Sicherheitsgruppe](#inference-recommender-vpc-access-security-group)
## Stellen Sie sicher, dass die Subnetze genügend IP-Adressen haben
Ihre VPC-Subnetze sollten mindestens zwei private IP-Adressen für jede Instance in einem Ableitungsempfehlungsauftrag haben. Weitere Informationen zu Subnetzen und privaten IP-Adressen finden Sie unter [So funktioniert Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) im *Amazon VPC-Benutzerhandbuch*.
## Erstellen eines Amazon S3 VPC-Endpunkts
Wenn Sie Ihre VPC so konfigurieren, dass der Zugriff auf das Internet blockiert ist, kann Inference Recommender keine Verbindung zu den Amazon-S3-Buckets herstellen, die Ihre Modelle enthalten, es sei denn, Sie erstellen einen VPC-Endpunkt, der den Zugriff erlaubt. Durch die Erstellung eines VPC-Endpunkts ermöglichen Sie Ihren SageMaker KI-Inferenzempfehlungsjobs den Zugriff auf die Buckets, in denen Sie Ihre Daten und Modellartefakte speichern.
Erstellen eines Amazon-S3-VPC-Endpunkts wie folgt:
1. Öffnen Sie die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpoints (Endpunkte)** und anschließend **Create Endpoint (Endpunkt erstellen)** aus.
1. Suchen Sie unter **Servicename** nach`com.amazonaws.region.s3`, wo `region` der Name der Region ist, in der sich Ihre VPC befindet.
1. Wählen Sie den **Gateway-Typ**.
1. Wählen Sie unter **VPC** die VPC aus, die Sie für diesen Endpunkt verwenden möchten.
1. Für **Configure route tables** wählen Sie die Routing-Tabellen, die von dem Endpunkt verwendet werden sollen. Der VPC-Service fügt jeder von Ihnen ausgewählten Routentabelle automatisch eine Route hinzu, die jeglichen Amazon S3-Datenverkehr an den neuen Endpunkt weiterleitet.
1. Wählen Sie für **Richtlinie** die Option **Voller Zugriff**, um jedem Benutzer oder Service innerhalb der VPC den vollen Zugriff auf den Amazon S3-Service zu ermöglichen.
## Hinzufügen von Berechtigungen für Inferenz-Empfehlungsaufträge, die in einer Amazon VPC ausgeführt werden, zu benutzerdefinierten IAM-Richtlinien
Die verwaltete Richtlinie von `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` enthält die Berechtigungen, die Sie für die Verwendung von Modellen benötigen, die für den Amazon VPC-Zugriff mit einem Endpunkt konfiguriert sind. Diese Berechtigungen ermöglichen es Inference Recommender, eine Elastic-Network-Schnittstelle zu erstellen und sie an den Inferenz-Empfehlungsauftrag anzuhängen, der in einer Amazon VPC ausgeführt wird. Wenn Sie Ihre eigene IAM-Richtlinie verwenden, müssen Sie die folgenden Berechtigungen zu dieser Richtlinie hinzufügen, um für den Amazon VPC-Zugriff konfigurierte Modelle zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## Konfigurieren von Routing-Tabellen
Verwenden Sie die Standard-DNS-Einstellungen für Ihre Endpunkt-Routing-Tabelle, sodass die standardmäßigen Amazon S3 S3-Einstellungen URLs (z. B.:`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) aufgelöst werden. Wenn Sie nicht die Standard-DNS-Einstellungen verwenden, stellen Sie sicher, URLs dass die Aufgaben, die Sie zur Angabe der Speicherorte der Daten in Ihrer Inferenzempfehlung verwenden, durch Konfiguration der Endpunkt-Routing-Tabellen aufgelöst werden. Informationen über Routing-Tabellen für VPC-Endpunkte finden Sie unter [Routing-Gateway-Endpunkte](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) im *Amazon VPC Benutzerhandbuch*.
## Konfigurieren der VPC-Sicherheitsgruppe
In Ihrer Sicherheitsgruppe für den Inferenzempfehlungsauftrag müssen Sie ausgehende Kommunikation zu Ihren Amazon S3-VPC-Endpunkten und den für den Inferenzempfehlungsauftrag verwendeten Subnetz-CIDR-Bereichen zulassen. For information, see [Security Group Rules](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) and [Control access to services with Amazon VPC endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) in the *Amazon VPC User Guide*.