Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS políticas gestionadas para Amazon SageMaker AI
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) a las que se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
**importante**
Se recomienda utilizar la política más restringida que le permita llevar a cabo su caso de uso.
Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios de su cuenta, son específicas de Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Otorga acceso completo a los recursos geoespaciales de Amazon SageMaker SageMaker AI y AI y a las operaciones compatibles. No proporciona acceso ilimitado a Amazon S3, pero admite buckets y objetos con etiquetas de `sagemaker` específicas. Esta política permite transferir todas las funciones de IAM a Amazon SageMaker AI, pero solo permite que las funciones de IAM que contengan AmazonSageMaker «» se transfieran a los AWS Glue servicios AWS Step Functions y AWS RoboMaker .
+ **`AmazonSageMakerReadOnly`**— Otorga acceso de solo lectura a los recursos de Amazon SageMaker AI.
Las siguientes políticas AWS gestionadas se pueden adjuntar a los usuarios de su cuenta, pero no se recomiendan:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator): concede todas las acciones para todos los servicios de AWS y para todos los recursos en la cuenta.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist): concede una amplia gama de permisos para cubrir la mayoría de los casos de uso (principalmente para la inteligencia empresarial y el análisis) que detectan los analizadores de datos.
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y búsquelas.
También puedes crear tus propias políticas de IAM personalizadas para permitir permisos para las acciones y los recursos de Amazon SageMaker AI cuando los necesites. Puede asociar estas políticas personalizadas a los usuarios o grupos de que las requieran.
**Topics**
+ [AWS política gestionada: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS política gestionada: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS políticas gestionadas para Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS políticas gestionadas para Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS políticas gestionadas para Amazon SageMaker geospatial](security-iam-awsmanpol-geospatial.md)
+ [AWS Políticas gestionadas para Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS políticas gestionadas para Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Políticas gestionadas para la gobernanza de los modelos de SageMaker IA](security-iam-awsmanpol-governance.md)
+ [AWS Políticas gestionadas para el registro de modelos](security-iam-awsmanpol-model-registry.md)
+ [AWS Políticas gestionadas para SageMaker ordenadores portátiles](security-iam-awsmanpol-notebooks.md)
+ [AWS políticas gestionadas para Amazon SageMaker Partner AI Apps](security-iam-awsmanpol-partner-apps.md)
+ [AWS Políticas gestionadas para SageMaker oleoductos](security-iam-awsmanpol-pipelines.md)
+ [AWS políticas gestionadas para planes SageMaker de formación](security-iam-awsmanpol-training-plan.md)
+ [AWS Políticas gestionadas para SageMaker proyectos y JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker Actualizaciones de IA de las políticas AWS gestionadas](#security-iam-awsmanpol-updates)
## AWS política gestionada: AmazonSageMakerFullAccess
Esta política otorga permisos administrativos que permiten a los principales acceder plenamente a todos los recursos y operaciones geoespaciales de Amazon SageMaker SageMaker AI y AI. La política también brinda acceso selecto a los servicios relacionados. Esta política permite transferir todas las funciones de IAM a Amazon SageMaker AI, pero solo permite que las funciones de IAM que contengan AmazonSageMaker «» se transfieran a los AWS Glue servicios AWS Step Functions y AWS RoboMaker . Esta política no incluye los permisos para crear un dominio de Amazon SageMaker AI. Para obtener información sobre la política necesaria para crear un dominio, consulte [Complete los requisitos previos de Amazon SageMaker AI](gs-set-up.md).
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `application-autoscaling`— Permite a los directores escalar automáticamente un punto final de inferencia de SageMaker IA en tiempo real.
+ `athena`— Permite a los directores consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde. Amazon Athena
+ `aws-marketplace`— Permite a los directores ver las suscripciones de AWS AI Marketplace. Lo necesitas si quieres acceder al software de SageMaker IA al que estás suscrito. AWS Marketplace
+ `cloudformation`— Permite a los directores obtener AWS CloudFormation plantillas para usar JumpStart soluciones y canalizaciones de SageMaker IA. SageMaker La IA JumpStart crea los recursos necesarios para ejecutar soluciones end-to-end de aprendizaje automático que vinculan la SageMaker IA a otros AWS servicios. SageMaker AI Pipelines crea nuevos proyectos respaldados por Service Catalog.
+ `cloudwatch`— Permite a los directores publicar CloudWatch métricas, interactuar con las alarmas y cargar registros en los registros de su cuenta. CloudWatch
+ `codebuild`— Permite a los directores almacenar AWS CodeBuild artefactos para proyectos y proyectos de SageMaker IA.
+ `codecommit`— Necesario para AWS CodeCommit la integración con instancias de cuadernos de SageMaker IA.
+ `cognito-idp`— Necesario para que Amazon SageMaker Ground Truth defina la fuerza laboral privada y los equipos de trabajo.
+ `ec2`— Necesario para que la SageMaker IA gestione los recursos y las interfaces de red de Amazon EC2 al especificar una Amazon VPC para sus trabajos, modelos, puntos de conexión e instancias de notebook de SageMaker IA.
+ `ecr`— Necesario para extraer y almacenar artefactos de Docker para Amazon SageMaker Studio Classic (imágenes personalizadas), entrenamiento, procesamiento, inferencia por lotes y puntos finales de inferencia. Esto también es necesario para usar tu propio contenedor en IA. SageMaker Se requieren permisos adicionales para JumpStart las soluciones de SageMaker IA para crear y eliminar imágenes personalizadas en nombre de los usuarios.
+ `elasticfilesystem`: permite a las entidades principales acceder a Amazon Elastic File System. Esto es necesario para que la SageMaker IA utilice las fuentes de datos de Amazon Elastic File System para entrenar modelos de aprendizaje automático.
+ `fsx`— Permite a los directores acceder a Amazon FSx. Esto es necesario para que la SageMaker IA utilice las fuentes de datos de Amazon FSx para entrenar modelos de aprendizaje automático.
+ `glue`— Necesario para el procesamiento previo del proceso de inferencia desde instancias de cuadernos de SageMaker IA.
+ `groundtruthlabeling`: se requiere para los trabajos de etiquetado de Ground Truth. Se accede al punto de conexión `groundtruthlabeling` mediante la consola de Ground Truth.
+ `iam`— Necesario para permitir a la consola de SageMaker IA acceder a las funciones de IAM disponibles y crear funciones vinculadas a servicios.
+ `kms`— Necesario para permitir a la consola de SageMaker IA acceder a AWS KMS las claves disponibles y recuperarlas para cualquier AWS KMS alias específico en las tareas y los puntos finales.
+ `lambda`: permite a las entidades principales invocar y obtener una lista de funciones de AWS Lambda .
+ `logs`— Necesario para permitir que los trabajos y puntos finales de SageMaker IA publiquen flujos de registro.
+ `redshift`: permite a las entidades principales acceder a las credenciales del clúster de Amazon Redshift.
+ `redshift-data`: permite a las entidades principales utilizar los datos de Amazon Redshift para ejecutar, describir y cancelar instrucciones; obtener los resultados de instrucciones; y enumerar esquemas y tablas.
+ `robomaker`— Permite a los directores tener acceso completo para crear, obtener descripciones y eliminar aplicaciones y trabajos de AWS RoboMaker simulación. También se requiere para ejecutar ejemplos de aprendizaje por refuerzo en instancias de cuadernos.
+ `s3, s3express`— Permite a los directores tener acceso completo a los recursos de Amazon S3 y Amazon S3 Express relacionados con la SageMaker IA, pero no a todos los de Amazon S3 o Amazon S3 Express.
+ `sagemaker`— Permite a los directores enumerar etiquetas en los perfiles de usuario de SageMaker IA y añadir etiquetas a aplicaciones y espacios de SageMaker IA. Solo permite el acceso a las definiciones de sagemaker relacionadas con el flujo de SageMaker IA: WorkteamType «private-crowd» o «vendor-crowd». Permite utilizar y describir los planes de formación en SageMaker IA y la capacidad reservada en tareas de formación y SageMaker HyperPod agrupaciones en todas las AWS regiones en las que se pueda acceder a la función de planes de SageMaker formación.
+ `sagemaker`y`sagemaker-geospatial`: permite a los directores acceder de solo lectura a los dominios y perfiles de usuario de la SageMaker IA.
+ `secretsmanager`: permite a las entidades principales obtener acceso completo a AWS Secrets Manager. Las entidades principales le ayudan a cifrar, almacenar y recuperar de forma segura las credenciales de las bases de datos y otros servicios. Esto también es necesario para las instancias de cuadernos de SageMaker IA con los repositorios de código de SageMaker IA que utilizan. GitHub
+ `servicecatalog`: permite a las entidades principales utilizar Service Catalog. Los directores pueden crear, obtener una lista, actualizar o cancelar los productos aprovisionados, como servidores, bases de datos, sitios web o aplicaciones desplegados mediante recursos. AWS Esto es necesario para que SageMaker AI JumpStart y Projects encuentren y lean los productos del catálogo de servicios y ofrezcan AWS recursos a los usuarios.
+ `sns`: permite a las entidades principales consultar una lista de temas de Amazon SNS. Se requiere para los puntos de conexión con inferencia asíncrona habilitada para notificar a los usuarios que su inferencia se ha completado.
+ `states`— Es necesario para que SageMaker AI JumpStart y Pipelines utilicen un catálogo de servicios para crear recursos de funciones escalonadas.
+ `tag`— Necesario para que SageMaker AI Pipelines se renderice en Studio Classic. Studio Classic requiere que los recursos estén etiquetados con una clave de etiqueta `sagemaker:project-id` determinada. Esto requiere el permiso `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerReadOnly
Esta política otorga acceso de solo lectura a Amazon SageMaker AI a través del SDK Consola de administración de AWS y.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `application-autoscaling`— Permite a los usuarios consultar las descripciones de los puntos finales de inferencia escalables de la SageMaker IA en tiempo real.
+ `aws-marketplace`— Permite a los usuarios ver las suscripciones de AWS AI Marketplace.
+ `cloudwatch`— Permite a los usuarios recibir CloudWatch alarmas.
+ `cognito-idp`— Necesario para que Amazon SageMaker Ground Truth explore las descripciones y listas de personal y equipos de trabajo privados.
+ `ecr`: se requiere para leer artefactos de Docker para el entrenamiento y la inferencia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS políticas gestionadas para Amazon SageMaker Canvas
Estas políticas AWS gestionadas añaden los permisos necesarios para usar Amazon SageMaker Canvas. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS política administrada: AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS política gestionada: Acceso AmazonSageMakerCanvas AIServices](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS política gestionada: AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS política gestionada: AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS política gestionada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS política gestionada: AmazonSageMakerCanvas SMData ScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de Amazon SageMaker Canvas](#security-iam-awsmanpol-canvas-updates)
## AWS política gestionada: AmazonSageMakerCanvasFullAccess
Esta política otorga permisos que permiten el acceso total a Amazon SageMaker Canvas a través del SDK Consola de administración de AWS y. La política también proporciona acceso selecto a servicios relacionados [por ejemplo, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry y AWS Secrets Manager Amazon Forecast SageMaker Amazon SageMaker ].
El objetivo de esta política es ayudar a los clientes a experimentar y empezar a utilizar todas las funciones de Canvas. SageMaker Para obtener un control más detallado, se sugiere a los clientes que creen sus propias versiones reducidas a medida que pasen a las cargas de trabajo de producción. Para obtener más información, consulte [IAM policy types: How and when to use them](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/).
**Detalles de los permisos**
Esta política AWS administrada incluye los siguientes permisos.
+ `sagemaker`— Permite a los directores crear y alojar modelos de SageMaker IA en recursos cuyo ARN contenga «Canvas», «canvas» o «model-compilation-». Además, los usuarios pueden registrar su modelo SageMaker Canvas en SageMaker AI Model Registry en la misma cuenta. AWS También permite a los directores crear y gestionar trabajos de SageMaker formación, transformación y AutomL.
+ `application-autoscaling`— Permite a los directores escalar automáticamente un punto final de inferencia de SageMaker IA.
+ `athena`: permite a las entidades principales consultar una lista de catálogos de datos, bases de datos y metadatos de tablas de Amazon Athena, y acceder a las tablas de los catálogos.
+ `cloudwatch`— Permite a los directores crear y gestionar las CloudWatch alarmas de Amazon.
+ `ec2`: permite a las entidades principales crear puntos de conexión de Amazon VPC.
+ `ecr`: permite a las entidades principales obtener información acerca de la imagen de un contenedor.
+ `emr-serverless`: permite a las entidades principales crear y administrar aplicaciones y ejecuciones de trabajo de Amazon EMR sin servidor. También permite a los directores etiquetar los recursos de SageMaker Canvas.
+ `forecast`: permite a las entidades principales utilizar Amazon Forecast.
+ `glue`— Permite a los directores recuperar las tablas, bases de datos y particiones del AWS Glue catálogo.
+ `iam`— Permite a los directores transferir una función de IAM a Amazon SageMaker AI, Amazon Forecast y Amazon EMR Serverless. También permite a las entidades principales crear un rol vinculado a un servicio.
+ `kms`— Permite a los directores leer una AWS KMS clave etiquetada con. `Source:SageMakerCanvas`
+ `logs`: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión.
+ `quicksight`— Permite a los directores enumerar los espacios de nombres de la cuenta Quick.
+ `rds`: permite a las entidades principales devolver información sobre instancias aprovisionadas de Amazon RDS.
+ `redshift`: permite a las entidades principales obtener credenciales para un dbuser “sagemaker\$1access\$1” en cualquier clúster de Amazon Redshift, si ese usuario existe.
+ `redshift-data`: permite a las entidades principales ejecutar consultas en Amazon Redshift mediante la API de datos de Amazon Redshift. Esto solo proporciona acceso a los datos de Redshift en APIs sí mismos y no proporciona acceso directo a los clústeres de Amazon Redshift. Para obtener más información, consulte [Uso de la API de datos de Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker». También permite a los directores recuperar objetos de los buckets de Amazon S3 cuyo ARN comience por «jumpstart-cache-prod-» en regiones específicas.
+ `secretsmanager`: permite a las entidades principales almacenar las credenciales de los clientes para conectarse a una base de datos de Snowflake mediante Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política administrada: AmazonSageMakerCanvasDataPrepFullAccess
Esta política otorga permisos que permiten el acceso total a la funcionalidad de preparación de datos de Amazon SageMaker Canvas. La política también proporciona permisos con privilegios mínimos para los servicios que se integran con la funcionalidad de preparación de datos [por ejemplo, Amazon Simple Storage Service (Amazon S3) AWS Identity and Access Management , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () y]. AWS Key Management Service AWS KMS AWS Secrets Manager
**Detalles de los permisos**
Esta política AWS administrada incluye los siguientes permisos.
+ `sagemaker`: permite a las entidades principales acceder a los trabajos de procesamiento, los trabajos de entrenamiento, las canalizaciones de inferencia, los trabajos de AutoML y los grupo de características.
+ `athena`: permite a las entidades principales consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde Amazon Athena.
+ `elasticmapreduce`: permite a las entidades principales leer y enumerar los clústeres de Amazon EMR.
+ `emr-serverless`: permite a las entidades principales crear y administrar aplicaciones y ejecuciones de trabajo de Amazon EMR sin servidor. También permite a los directores etiquetar los recursos de SageMaker Canvas.
+ `events`— Permite a los directores crear, leer, actualizar y añadir objetivos a EventBridge las reglas de Amazon para los trabajos programados.
+ `glue`— Permite a los directores obtener y buscar tablas en las bases de datos del catálogo. AWS Glue
+ `iam`— Permite a los directores transferir una función de IAM a Amazon SageMaker AI y Amazon EMR Serverless. EventBridge También permite a las entidades principales crear un rol vinculado a un servicio.
+ `kms`— Permite a los directores recuperar los AWS KMS alias almacenados en los trabajos y puntos de conexión y acceder a la clave KMS asociada.
+ `logs`: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión.
+ `redshift`: permite a las entidades principales obtener las credenciales para acceder a una base de datos de Amazon Redshift.
+ `redshift-data`: permite a las entidades principales ejecutar, cancelar, describir, enumerar y obtener los resultados de las consultas de Amazon Redshift. También permite a las entidades principales enumerar los esquemas y tablas de Amazon Redshift.
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker», o estén etiquetados con «», sin distinguir mayúsculas de minúsculas. SageMaker
+ `secretsmanager`: permite a las entidades principales almacenar y recuperar las credenciales de la base de datos de clientes mediante Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess
Esta política concede los permisos necesarios para que Amazon SageMaker Canvas cree y gestione los puntos de enlace de Amazon SageMaker AI.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `sagemaker`— Permite a los directores crear y gestionar puntos finales de SageMaker IA con un nombre de recurso ARN que comience por «Canvas» o «canvas».
+ `cloudwatch`— Permite a los directores recuperar los datos CloudWatch métricos de Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: Acceso AmazonSageMakerCanvas AIServices
Esta política otorga permisos a Amazon SageMaker Canvas para usar Amazon Textract, Amazon Rekognition, Amazon Comprehend y Amazon Bedrock.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `textract`: permite a las entidades principales utilizar Amazon Textract para detectar documentos, gastos e identidades dentro de una imagen.
+ `rekognition`: permite a las entidades principales utilizar Amazon Rekognition para detectar etiquetas y texto dentro de una imagen.
+ `comprehend`: permite a las entidades principales utilizar Amazon Comprehend para detectar sentimientos y el lenguaje dominante, así como entidades con nombre e información de identificación personal (PII) en un documento de texto.
+ `bedrock`: permite a las entidades principales utilizar Amazon Bedrock para enumerar e invocar modelos básicos.
+ `iam`: permite a las entidades principales pasar un rol de IAM a Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS política gestionada: AmazonSageMakerCanvasBedrockAccess
Esta política concede los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Bedrock.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales añadir y recuperar objetos de buckets de Amazon S3 en el directorio sagemaker-\$1/Canvas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerCanvasForecastAccess
Esta política concede los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Forecast.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre comience por “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Esta política concede permisos a Amazon EMR Serverless para AWS servicios, como Amazon S3, que Amazon SageMaker Canvas utiliza para el procesamiento de datos de gran tamaño.
**Detalles de los permisos**
Esta política AWS administrada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos están limitados a aquellos cuyo nombre incluya «» o SageMaker «sagemaker», o que estén etiquetados con SageMaker «», sin distinguir mayúsculas y minúsculas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Esta política otorga permisos a los usuarios de Amazon SageMaker Canvas para iniciar conversaciones con Amazon Q Developer. Esta función requiere permisos tanto para Amazon Q Developer como para el servicio SageMaker AI Data Science Assistant.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `q`: permite a las entidades principales enviar peticiones a Amazon Q Developer.
+ `sagemaker-data-science-assistant`— Permite a los directores enviar mensajes al servicio SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de Amazon SageMaker Canvas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas de SageMaker Canvas desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess): actualización de una política existente | 2 | Se agregó el permiso `q:StartConversation`. | 14 de enero de 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess): política nueva | 1 | Política inicial | 4 de diciembre de 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess): actualización de una política existente | 4 | Se ha añadido un recurso al permiso `IAMPassOperationForEMRServerless`. | 16 de agosto de 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess): actualización de una política existente | 11 | Se ha añadido un recurso al permiso `IAMPassOperationForEMRServerless`. | 15 de agosto de 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy): política nueva | 1 | Política inicial | 26 de julio de 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente | 3 | Se han añadido los permisos `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` y `emr-serverless:TagResource`. | 18 de julio de 2024 |
| AmazonSageMakerCanvasFullAccess - Actualización de una política existente | 10 | Se han añadido los permisos `application-autoscaling:DescribeScalingActivities` `iam:PassRole`, `kms:DescribeKey` y `quicksight:ListNamespaces`. Se han añadido los permisos `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` y `sagemaker:StopTransformJob`. Se agregaron los permisos `athena:ListTableMetadata`, `athena:ListDataCatalogs` y `athena:ListDatabases`. Se agregaron los permisos `glue:GetDatabases`, `glue:GetPartitions` y `glue:GetTables`. Se han añadido los permisos `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` y `emr-serverless:TagResource`. | 9 de julio de 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess): política nueva | 1 | Política inicial | 2 de febrero de 2024 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 9 | Se agregó el permiso `sagemaker:ListEndpoints`. | 24 de enero de 2024 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 8 | Se han añadido los permisos `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` y`iam:CreateServiceLinkedRole`. | 8 de diciembre de 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente | 2 | Pequeña actualización para aplicar los objetivos de la política anterior, versión 1; no se han añadido ni eliminado permisos. | 7 de diciembre de 2023 |
| [AmazonSageMakerCanvasAIServicesAcceso](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess): actualización de una política existente | 3 | Se han añadido los permisos `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` y `iam:PassRole`. | 29 de noviembre de 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Nueva política | 1 | Política inicial | 26 de octubre de 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess): política nueva | 1 | Política inicial | 6 de octubre de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 7 | Se agregaron los permisos `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel` y `sagemaker:InvokeEndpoint`. Añada también `s3:GetObject` permisos para JumpStart recursos en regiones específicas. | 29 de septiembre de 2023 |
| AmazonSageMakerCanvasAIServicesAcceso: actualización a una política existente | 2 | Se agregaron los permisos `bedrock:InvokeModel` y `bedrock:ListFoundationModels`. | 29 de septiembre de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 6 | Se agregó el permiso `rds:DescribeDBInstances`. | 29 de agosto de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 5 | Se agregaron los permisos `application-autoscaling:PutScalingPolicy` y `application-autoscaling:RegisterScalableTarget`. | 24 de julio de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 4 | Se agregaron los permisos `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages` y `sagemaker:ListModelPackageGroups`. | 4 de mayo de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 3 | Se agregaron los permisos `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` y `glue:SearchTables`. | 24 de marzo de 2023 |
| AmazonSageMakerCanvasAIServicesAcceso: nueva política | 1 | Política inicial | 23 de marzo de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 2 | Se agregó el permiso `forecast:DeleteResourceTree`. | 6 de diciembre de 2022 |
| AmazonSageMakerCanvasFullAccess - Nueva política | 1 | Política inicial | 8 de septiembre de 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess): política nueva | 1 | Política inicial | 24 de agosto de 2022 |
# AWS políticas gestionadas para Amazon SageMaker Feature Store
Estas políticas AWS gestionadas añaden los permisos necesarios para usar Feature Store. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas SageMaker de Amazon Feature Store](#security-iam-awsmanpol-feature-store-updates)
## AWS política gestionada: AmazonSageMakerFeatureStoreAccess
Esta política concede los permisos necesarios para habilitar la tienda offline para un grupo de funciones de Amazon SageMaker Feature Store.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales escribir datos en un bucket de Amazon S3 de un almacenamiento sin conexión. Estos depósitos están limitados a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker».
+ `s3`: permite a las entidades principales leer los archivos de manifiesto existentes que se encuentran en la carpeta `metadata` de un bucket de S3 de un almacenamiento sin conexión.
+ `glue`— Permite a los directores leer y actualizar las tablas de AWS Glue. Estos permisos se limitan a las tablas de la carpeta `sagemaker_featurestore`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas SageMaker de Amazon Feature Store
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Feature Store desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker AI.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess): actualización de una política existente | 3 | Se agregaron los permisos `s3:GetObject`, `glue:GetTable` y `glue:UpdateTable`. | 5 de diciembre de 2022 |
| AmazonSageMakerFeatureStoreAccess - Actualización de una política existente | 2 | Se agregó el permiso `s3:PutObjectAcl`. | 23 de febrero de 2021 |
| AmazonSageMakerFeatureStoreAccess - Nueva política | 1 | Política inicial | 1 de diciembre de 2020 |
# AWS políticas gestionadas para Amazon SageMaker geospatial
Estas políticas AWS gestionadas añaden los permisos necesarios para utilizar la tecnología SageMaker geoespacial. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS política gestionada: AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Amazon SageMaker AI actualiza las políticas gestionadas SageMaker geoespaciales de Amazon](#security-iam-awsmanpol-geospatial-updates)
## AWS política gestionada: AmazonSageMakerGeospatialFullAccess
Esta política concede permisos que permiten el acceso total a Amazon SageMaker Geospatial a través del Consola de administración de AWS SDK.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `sagemaker-geospatial`— Permite a los directores el acceso total a todos los recursos SageMaker geoespaciales.
+ `iam`— Permite a los directores transferir una función de IAM a la tecnología geoespacial. SageMaker
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerGeospatialExecutionRole
Esta política otorga los permisos que normalmente se necesitan para usar la tecnología SageMaker geoespacial.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre contenga SageMaker «», «Sagemaker» o «sagemaker».
+ `sagemaker-geospatial`: permite a las entidades principales acceder a los trabajos de observación de la Tierra a través de la API `GetEarthObservationJob`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas SageMaker geoespaciales de Amazon
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas para el SageMaker sector geoespacial desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole): política actualizada | 2 | Se agregó el permiso `sagemaker-geospatial:GetRasterDataCollection`. | 10 de mayo de 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess): política nueva | 1 | Política inicial | 30 de noviembre de 2022 |
| AmazonSageMakerGeospatialExecutionRole - Nueva política | 1 | Política inicial | 30 de noviembre de 2022 |
# AWS Políticas gestionadas para Amazon SageMaker Ground Truth
Estas políticas AWS gestionadas añaden los permisos necesarios para usar SageMaker AI Ground Truth. Las políticas están disponibles en tu AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Ground Truth](#security-iam-awsmanpol-groundtruth-updates)
## AWS política gestionada: AmazonSageMakerGroundTruthExecution
Esta política AWS gestionada concede los permisos que normalmente se necesitan para usar SageMaker AI Ground Truth.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `lambda`— Permite a los directores invocar funciones Lambda cuyo nombre incluya «sagemaker» (que no distingue entre mayúsculas y minúsculas), «» o "». GtRecipe LabelingFunction
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre, que no distingue entre mayúsculas y minúsculas, contenga «groundtruth» o «sagemaker», o que estén etiquetados con «». SageMaker
+ `cloudwatch`— Permite a los directores publicar métricas. CloudWatch
+ `logs`: permite a las entidades principales crear y acceder a flujos de registro y publicar eventos de registro.
+ `sqs`: permite a las entidades principales crear colas de Amazon SQS y enviar y recibir mensajes de Amazon SQS. Estos permisos se limitan a las colas cuyo nombre incluya «»GroundTruth.
+ `sns`: permite a las entidades principales suscribirse y publicar mensajes en temas de Amazon SNS cuyo nombre, sin distinción entre mayúsculas y minúsculas, contenga “groundtruth” o “sagemaker”.
+ `ec2`— Permite a los directores crear, describir y eliminar puntos de enlace de Amazon VPC cuyo nombre de servicio de punto de enlace de VPC sagemaker-task-resources contenga «» o «etiquetado».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Ground Truth
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI Ground Truth desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution): actualización de una política existente | 3 | Se agregaron los permisos `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` y `ec2:DeleteVpcEndpoints`. | 29 de abril de 2022 |
| AmazonSageMakerGroundTruthExecution - Actualización de una política existente | 2 | Se eliminó el permiso `sqs:SendMessageBatch`. | 11 de abril de 2022 |
| AmazonSageMakerGroundTruthExecution - Nueva política | 1 | Política inicial | 20 de julio de 2020 |
# AWS políticas gestionadas para Amazon SageMaker HyperPod
Las siguientes políticas AWS gestionadas añaden los permisos necesarios para usar Amazon SageMaker HyperPod. Las políticas están disponibles en tu AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA o el rol HyperPod vinculado al servicio.
**Topics**
+ [AWS política gestionada: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS política gestionada: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS política gestionada: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS política gestionada: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Amazon SageMaker AI actualiza las políticas SageMaker HyperPod gestionadas](#security-iam-awsmanpol-hyperpod-updates)
# AWS política gestionada: AmazonSageMakerHyperPodTrainingOperatorAccess
Esta política proporciona los permisos administrativos necesarios para configurar el operador de SageMaker HyperPod formación. Permite el acceso a SageMaker HyperPod los complementos de Amazon EKS. La política incluye permisos para describir los SageMaker HyperPod recursos de su cuenta.
**Detalles del permiso**
Esta política incluye los permisos siguientes:
+ `sagemaker:DescribeClusterNode`- Permite a los usuarios devolver información sobre un HyperPod clúster.
Para ver los permisos de esta política, consulte [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)la Referencia de políticas AWS gestionadas.
# AWS política gestionada: AmazonSageMakerHyperPodObservabilityAdminAccess
Esta política proporciona los privilegios administrativos necesarios para configurar la SageMaker HyperPod observabilidad de Amazon. Permite acceder a los complementos de Amazon Managed Service para Prometheus, Amazon Managed Grafana y Amazon Elastic Kubernetes Service. La política también incluye un amplio acceso a Grafana HTTP a APIs ServiceAccountTokens través de todos los espacios de trabajo de Grafana gestionados por Amazon de su cuenta.
**Detalles del permiso**
En la siguiente lista, se proporciona información general sobre los permisos que se incluyen en esta política.
+ `prometheus`: crea y administra los espacios de trabajo y grupos de reglas de Amazon Managed Service para Prometheus
+ `grafana`: crea y administra cuentas de servicio y espacios de trabajo de Amazon Managed Grafana
+ `eks`: crea y administra el complemento `amazon-sagemaker-hyperpod-observability` de Amazon EKS
+ `iam`: transfiere roles de servicio de IAM específicos a Amazon Managed Grafana y Amazon EKS
+ `sagemaker`— Enumera y describe los clústeres SageMaker HyperPod
+ `sso`: crea y administra instancias de aplicación del IAM Identity Center para la configuración de Amazon Managed Grafana
+ `tag`: etiqueta Amazon Managed Service para Prometheus, Amazon Managed Grafana y los recursos de los complementos de Amazon EKS
Para ver la política JSON, consulte [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS política gestionada: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod crea y usa el rol vinculado al servicio nombrado `AWSServiceRoleForSageMakerHyperPod` junto con el rol `AmazonSageMakerHyperPodServiceRolePolicy` adjunto al rol. Esta política otorga SageMaker HyperPod permisos a Amazon para AWS servicios relacionados, como Amazon EKS y Amazon CloudWatch.
La función vinculada al servicio facilita la configuración SageMaker HyperPod , ya que no es necesario añadir manualmente los permisos necesarios. SageMaker HyperPod define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo SageMaker HyperPod puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus SageMaker HyperPod recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
`AmazonSageMakerHyperPodServiceRolePolicy`Permite SageMaker HyperPod realizar las siguientes acciones en los recursos especificados en su nombre.
**Detalles de los permisos**
Esta política de roles vinculados a servicios incluye los siguientes permisos.
+ `eks`: permite a las entidades principales leer información del clúster de Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Permite a los directores publicar transmisiones de CloudWatch registros de Amazon en. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para SageMaker HyperPod
No necesita crear manualmente un rol vinculado a servicios. Al crear un SageMaker HyperPod clúster mediante la consola de SageMaker IA AWS CLI, el o el SageMaker HyperPod crea automáticamente el AWS SDKs rol vinculado al servicio.
Si eliminas este rol vinculado al servicio pero necesitas volver a crearlo, puedes usar el mismo proceso (crear un nuevo SageMaker HyperPod clúster) para volver a crear el rol en tu cuenta.
## Editar un rol vinculado a un servicio para SageMaker HyperPod
SageMaker HyperPod no permite editar el rol vinculado al `AWSServiceRoleForSageMakerHyperPod` servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para SageMaker HyperPod
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**Para eliminar los recursos SageMaker HyperPod del clúster mediante el rol vinculado al servicio**
Use una de las siguientes opciones para eliminar los recursos SageMaker HyperPod del clúster.
+ [Elimine un SageMaker HyperPod clúster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) mediante la consola de SageMaker IA
+ [Elimine un SageMaker HyperPod clúster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) mediante el AWS CLI
**nota**
Si el SageMaker HyperPod servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al `AWSServiceRoleForSageMakerHyperPod` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio SageMaker HyperPod
SageMaker HyperPod admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Requisitos previos para](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html). SageMaker HyperPod
# AWS política gestionada: AmazonSageMakerClusterInstanceRolePolicy
Esta política otorga los permisos que normalmente se necesitan para usar Amazon SageMaker HyperPod.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `cloudwatch`— Permite a los directores publicar CloudWatch métricas de Amazon.
+ `logs`— Permite a los directores publicar secuencias de CloudWatch registros.
+ `s3`: permite a las entidades principales enumerar y recuperar archivos de script del ciclo de vida desde un bucket de Amazon S3 de su cuenta. Estos buckets se limitan a aquellos cuyo nombre comience por “sagemaker-”.
+ `ssmmessages`: permite a las entidades principales abrir una conexión a AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas SageMaker HyperPod gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas SageMaker HyperPod desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de SageMaker AI Document.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md): política nueva | 1 | Política inicial | 22 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): política actualizada | 2 | Se ha actualizado la política para corregir y reducir el alcance de los roles para incluir el prefijo `service-role`. También se agregaron permisos para las acciones end-to-end administrativas `eks:DeletePodIdentityAssociation` y `eks:UpdatePodIdentityAssociation` que son necesarios para ellas. | 19 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): política nueva | 1 | Política inicial | 10 de julio de 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md): política nueva | 1 | Política inicial | 9 de septiembre de 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md): política nueva | 1 | Política inicial | 29 de noviembre de 2023 |
# AWS Políticas gestionadas para la gobernanza de los modelos de SageMaker IA
Esta política AWS gestionada añade los permisos necesarios para usar SageMaker AI Model Governance. La política está disponible en su AWS cuenta y la utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Model Governance](#security-iam-awsmanpol-governance-updates)
## AWS política gestionada: AmazonSageMakerModelGovernanceUseAccess
Esta política AWS gestionada concede los permisos necesarios para utilizar todas las funciones de Amazon SageMaker AI Governance. La política está disponible en su AWS cuenta.
Esta política incluye los siguientes permisos.
+ `s3`: recupere objetos de buckets de Amazon S3. Los objetos recuperables se limitan a aquellos cuyo nombre, sin distinción entre mayúsculas y minúsculas, contenga la cadena `"sagemaker"`.
+ `kms`— Enumere las AWS KMS claves que se utilizarán para el cifrado de contenido.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Model Governance
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para SageMaker AI Model Governance desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker IA.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess): actualización de una política existente | 3 | Añadir declaración IDs (`Sid`). | 4 de junio de 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Actualización a una política existente | 2 | Se agregaron los permisos `sagemaker:DescribeModelPackage` y `DescribeModelPackageGroup`. | 17 de julio de 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Nueva política | 1 | Política inicial | 30 de noviembre de 2022 |
# AWS Políticas gestionadas para el registro de modelos
Estas políticas AWS administradas agregan los permisos necesarios para usar Model Registry. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola Amazon SageMaker AI.
**Topics**
+ [AWS política gestionada: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de Model Registry](#security-iam-awsmanpol-model-registry-updates)
## AWS política gestionada: AmazonSageMakerModelRegistryFullAccess
Esta política AWS gestionada concede los permisos necesarios para utilizar todas las funciones de Model Registry dentro de un dominio de Amazon SageMaker AI. Esta política se asocia a un rol de ejecución al configurar los ajustes del registro de modelos para habilitar los permisos del registro de modelos.
Esta política incluye los siguientes permisos.
+ `ecr`: permite a las entidades principales recuperar información, incluidos metadatos, sobre imágenes de Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Permite a los directores transferir la función de ejecución al servicio Amazon SageMaker AI.
+ `resource-groups`— Permite a los directores crear, enumerar, etiquetar y eliminar. Grupos de recursos de AWS
+ `s3`: permite a las entidades principales recuperar objetos de los buckets de Amazon Simple Storage Service (Amazon S3) en los que se almacenan las versiones del modelo. Los objetos recuperables se limitan a aquellos cuyo nombre, sin distinción entre mayúsculas y minúsculas, contenga la cadena `"sagemaker"`.
+ `sagemaker`— Permite a los directores catalogar, gestionar e implementar modelos mediante el Registro de SageMaker modelos.
+ `kms`— Permite que solo el director del servicio de SageMaker IA añada una subvención, genere claves de datos, descifre y lea AWS KMS claves, y solo las claves que estén etiquetadas para ser utilizadas por «sagemaker».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de Model Registry
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Model Registry desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker AI.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess): actualización de una política existente | 2 | Se han añadido los permisos `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` y `kms:Decrypt`. | 6 de junio de 2024 |
| AmazonSageMakerModelRegistryFullAccess - Nueva política | 1 | Política inicial | 12 de abril de 2023 |
# AWS Políticas gestionadas para SageMaker ordenadores portátiles
Estas políticas AWS administradas añaden los permisos necesarios para usar los SageMaker cuadernos. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS política gestionada: AmazonSageMakerNotebooksServiceRolePolicy
Esta política AWS gestionada concede los permisos que normalmente se necesitan para usar Amazon SageMaker Notebooks. La política se añade a la `AWSServiceRoleForAmazonSageMakerNotebooks` que se crea cuando te incorporas a Amazon SageMaker Studio Classic. Para obtener más información sobre los roles vinculados a servicios, consulte [Roles vinculados a servicios](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Para obtener más información, consulte [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `elasticfilesystem`: permite a las entidades principales crear y eliminar sistemas de archivos, puntos de acceso y destinos de montaje de Amazon Elastic File System (EFS). Se limitan a las etiquetadas con la clave *ManagedByAmazonSageMakerResource*. Permite a las entidades principales describir todos los sistemas de archivos, puntos de acceso y destinos de montaje de EFS. Permite a las entidades principales crear o sobrescribir etiquetas para los puntos de acceso de EFS y objetivos de montaje.
+ `ec2`: permite a las entidades principales crear interfaces de red y grupos de seguridad para instancias de Amazon Elastic Compute Cloud (EC2). También permite a las entidades principales crear y sobrescribir etiquetas para estos recursos.
+ `sso`: permite a las entidades principales agregar y eliminar instancias de aplicaciones administradas a AWS IAM Identity Center.
+ `sagemaker`— Permite a los directores crear y leer SageMaker perfiles de usuario y espacios de SageMaker IA; eliminar espacios de SageMaker IA y aplicaciones de SageMaker IA; y añadir y enumerar etiquetas.
+ `fsx`— Permite a los directores describir el sistema de archivos Amazon FSx for Lustre y utilizar los metadatos para montarlo en una libreta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Notebooks
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy): actualización de una política existente | 10 | Se agregó el permiso `fsx:DescribeFileSystems`. | 14 de noviembre de 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy): actualización de una política existente | 9 | Se agregó el permiso `sagemaker:DeleteApp`. | 24 de julio de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Actualización de una política existente | 8 | Se agregaron los permisos `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` y `sagemaker:AddTags`. | 22 de mayo de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Actualización a una política existente | 7 | Se agregó el permiso `elasticfilesystem:TagResource`. | 9 de marzo de 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Actualización a una política existente | 6 | Se agregaron los permisos `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` y `elasticfilesystem:DescribeAccessPoints`. | 12 de enero de 2023 |
| | | SageMaker AI comenzó a rastrear los cambios en sus políticas AWS gestionadas. | 1 de junio de 2021 |
# AWS políticas gestionadas para Amazon SageMaker Partner AI Apps
Estas políticas AWS gestionadas añaden los permisos necesarios para utilizar las aplicaciones de IA de Amazon SageMaker Partner. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de Partner AI Apps](#security-iam-awsmanpol-partner-apps-updates)
## AWS política gestionada: AmazonSageMakerPartnerAppsFullAccess
Permite el acceso administrativo completo a las aplicaciones de IA de Amazon SageMaker Partner.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `sagemaker`— Otorga a los usuarios de la aplicación Amazon SageMaker Partner AI permiso para acceder a las aplicaciones, enumerar las aplicaciones disponibles UIs, lanzar aplicaciones web y conectarse mediante el SDK de la aplicación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de Partner AI Apps
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de las aplicaciones de IA asociadas desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker AI.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Nueva política | 1 | Política inicial | 17 de enero de 2025 |
# AWS Políticas gestionadas para SageMaker oleoductos
Estas políticas AWS gestionadas añaden los permisos necesarios para usar SageMaker Pipelines. Las políticas están disponibles en tu AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI actualiza las políticas gestionadas por SageMaker AI Pipelines](#security-iam-awsmanpol-pipelines-updates)
## AWS política gestionada: AmazonSageMakerPipelinesIntegrations
Esta política AWS gestionada concede los permisos que normalmente se necesitan para usar los pasos de Callback y Lambda en SageMaker Pipelines. La política se añade a la `AmazonSageMaker-ExecutionRole` que se crea cuando te incorporas a Amazon SageMaker Studio Classic. La política se puede asociar a cualquier otro rol usado para crear o ejecutar una canalización.
Esta política otorga los permisos correspondientes a AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon e IAM necesarios para crear canalizaciones que invoquen funciones de Lambda o incluyan pasos de devolución de llamada, que se pueden utilizar para pasos de aprobación manual o para ejecutar cargas de trabajo personalizadas.
Los permisos de Amazon SQS le permiten crear la cola de Amazon SQS necesaria para recibir mensajes de devolución de llamada y también enviar mensajes a esa cola.
Los permisos de Lambda le permiten crear, leer, actualizar y eliminar las funciones de Lambda utilizadas en los pasos de la canalización, y también invocar esas funciones de Lambda.
Esta política otorga los permisos de Amazon EMR necesarios para ejecutar un paso de Amazon EMR de las canalizaciones.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `elasticmapreduce`: lee, agrega y cancela los pasos de un clúster de Amazon EMR en ejecución. Lee, crea y finaliza un nuevo clúster de Amazon EMR.
+ `events`— Lea, cree, actualice y añada objetivos a una regla denominada y. EventBridge `SageMakerPipelineExecutionEMRStepStatusUpdateRule` `SageMakerPipelineExecutionEMRClusterStatusUpdateRule`
+ `iam`— Transferir una función de IAM al servicio AWS Lambda, Amazon EMR y Amazon EC2.
+ `lambda`: crea, lee, actualiza, elimina e invoca funciones de Lambda. Estos permisos se limitan a las funciones cuyo nombre incluya “sagemaker”.
+ `sqs`: crea una cola de Amazon SQS; envía un mensaje de Amazon SQS. Estos permisos se limitan a las colas cuyo nombre incluya “sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas por SageMaker AI Pipelines
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations): actualización de una política existente | 3 | Se agregaron permisos para `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps` y `elasticmapreduce:DescribeCluster`. | 17 de febrero de 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations): actualización de una política existente | 2 | Se agregaron permisos para `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps` y `elasticmapreduce:DescribeStep`. | 20 de abril de 2022 |
| AmazonSageMakerPipelinesIntegrations - Nueva política | 1 | Política inicial | 30 de julio de 2021 |
# AWS políticas gestionadas para planes SageMaker de formación
Esta política AWS gestionada concede los permisos necesarios para crear y gestionar los planes de SageMaker formación de Amazon y la capacidad reservada en SageMaker IA. La política se puede adjuntar a las funciones de IAM utilizadas para crear y gestionar los planes de formación y la capacidad reservada dentro de la SageMaker IA, incluida la [función de ejecución de la SageMaker IA](sagemaker-roles.md).
**Topics**
+ [AWS política gestionada: AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [Amazon SageMaker AI actualiza los planes de SageMaker formación y las políticas gestionadas](#security-iam-awsmanpol-training-plan-updates)
## AWS política gestionada: AmazonSageMakerTrainingPlanCreateAccess
Esta política proporciona los permisos necesarios para crear, describir, buscar y enumerar planes de formación en SageMaker IA. Además, también permite añadir etiquetas a los planes de entrenamiento y a los recursos de capacidad reservada en condiciones específicas.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sagemaker`: permite crear planes de entrenamiento y capacidad reservada, añadir etiquetas a los planes de entrenamiento y a la capacidad reservada cuando la acción de etiquetar sea específicamente `CreateTrainingPlan` o `CreateReservedCapacity`, describir los planes de entrenamiento, buscar ofertas de planes de entrenamiento y enumerar los planes de entrenamiento existentes en todos los recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI actualiza los planes de SageMaker formación y las políticas gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - política actualizada | 2 | Se actualizó la política para añadir permisos para recuperar información sobre una capacidad reservada específica y enumerar todas las que se UltraServers encuentran en una capacidad reservada. | 29 de julio de 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Nueva política | 1 | Política inicial | 4 de diciembre de 2024 |
# AWS Políticas gestionadas para SageMaker proyectos y JumpStart
Estas políticas AWS gestionadas añaden permisos para usar plantillas y JumpStart soluciones de proyectos de Amazon SageMaker AI integradas. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
SageMaker Proyecta y JumpStart usa AWS Service Catalog para aprovisionar AWS recursos en las cuentas de los clientes. Algunos recursos creados deben asumir un rol de ejecución. Por ejemplo, si AWS Service Catalog crea una CodePipeline canalización en nombre de un cliente para un CI/CD proyecto de aprendizaje automático de SageMaker IA, esa canalización requiere una función de IAM.
El [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)rol tiene los permisos necesarios para lanzar la cartera de productos de SageMaker IA de AWS Service Catalog. El [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)rol tiene los permisos necesarios para usar la cartera de productos de SageMaker IA de AWS Service Catalog. La `AmazonSageMakerServiceCatalogProductsLaunchRole` función transfiere una `AmazonSageMakerServiceCatalogProductsUseRole` función a los recursos de productos de AWS Service Catalog aprovisionados.
**Topics**
+ [AWS política gestionada: - AmazonSageMakerAdmin ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsEventsServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS política gestionada: política AmazonSageMakerServiceCatalogProductsGlueServiceRole](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [Amazon SageMaker AI actualiza las políticas AWS gestionadas de AWS Service Catalog](#security-iam-awsmanpol-sc-updates)
## AWS política gestionada: - AmazonSageMakerAdmin ServiceCatalogProductsServiceRolePolicy
El servicio utiliza esta política de roles de AWS Service Catalog servicio para aprovisionar productos de la cartera de Amazon SageMaker AI. La política otorga permisos a un conjunto de AWS servicios relacionados AWS CodePipeline, incluidos AWS CodeBuild AWS CodeCommit, AWS CloudFormation, AWS Glue y otros.
La `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` política está pensada para que la utilice el `AmazonSageMakerServiceCatalogProductsLaunchRole` rol creado desde la consola de SageMaker IA. La política agrega permisos para aprovisionar AWS recursos para SageMaker proyectos y JumpStart usar Service Catalog a la cuenta de un cliente.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `apigateway`: permite que el rol llame a los puntos de conexión de API Gateway que estén etiquetados con `sagemaker:launch-source`.
+ `cloudformation`— Permite AWS Service Catalog crear, actualizar y eliminar CloudFormation pilas. También permite a Service Catalog etiquetar y eliminar etiquetas en los recursos.
+ `codebuild`— Permite que el rol que asume AWS Service Catalog y CloudFormation al que se transfiere cree, actualice y elimine CodeBuild proyectos.
+ `codecommit`— Permite que el rol asumido AWS Service Catalog y CloudFormation al que se transfiere cree, actualice y elimine CodeCommit repositorios.
+ `codepipeline`— Permite crear, actualizar AWS Service Catalog y eliminar CodePipelines el CloudFormation rol asumido y transferido.
+ `codeconnections`, `codestar-connections` — También permite la transferencia del rol AWS CodeConnections y AWS CodeStar las conexiones.
+ `cognito-idp`: permite al rol crear, actualizar y eliminar grupos y grupos de usuarios. También permite etiquetar recursos.
+ `ecr`— Permite que la función que asume AWS Service Catalog y CloudFormation a la que se transfiere cree y elimine repositorios de Amazon ECR. También permite etiquetar recursos.
+ `events`— Permite que la función asumida AWS Service Catalog y transferida CloudFormation cree y elimine EventBridge reglas. Se utiliza para unir los distintos componentes de la canalización CICD.
+ `firehose`: permite al rol interactuar con flujos de Firehose.
+ `glue`— Permite interactuar con el rol AWS Glue.
+ `iam`: permite que el rol pase los roles precedidos de `AmazonSageMakerServiceCatalog`. Se requiere cuando los proyectos aprovisionan un producto de AWS Service Catalog , ya que es necesario transferir un rol a AWS Service Catalog.
+ `lambda`: permite al rol interactuar con AWS Lambda. También permite etiquetar recursos.
+ `logs`: permite al rol crear, eliminar y acceder a flujos de registro.
+ `s3`— Permite que la función asumida AWS Service Catalog y a la que se transfiere acceda CloudFormation a los buckets de Amazon S3 donde se almacena el código de la plantilla del proyecto.
+ `sagemaker`— Permite que el rol interactúe con varios servicios de SageMaker IA. Esto se hace tanto CloudFormation durante el aprovisionamiento de la plantilla como CodeBuild durante la ejecución de la canalización del CICD. También permite etiquetar los siguientes recursos: puntos de conexión, configuraciones de puntos de conexión, modelos, canalizaciones, proyectos y paquetes de modelos.
+ `states`: permite que el rol cree, elimine y actualice Step Functions precedidas de `sagemaker`.
Para ver los permisos de esta política, consulte [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) en la Referencia de políticas AWS gestionadas.
## AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Amazon API Gateway utiliza esta política en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a un rol de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por API Gateway que requieren un rol.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `lambda`: invoca una función creada por una plantilla de socio.
+ `sagemaker`: invoca un punto de conexión creado por una plantilla de socio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Esta política se utiliza AWS CloudFormation en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por CloudFormation esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: transfiere los roles `AmazonSageMakerServiceCatalogProductsLambdaRole` y `AmazonSageMakerServiceCatalogProductsApiGatewayRole`.
+ `lambda`— Crear, actualizar, eliminar e invocar AWS Lambda funciones; recuperar, publicar y eliminar versiones de una capa Lambda.
+ `apigateway`: crea, actualiza y elimina los recursos de Amazon API Gateway.
+ `s3`: recupera el archivo `lambda-auth-code/layer.zip` de un bucket de Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Esta política se utiliza AWS Lambda en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a una función de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por Lambda que requieren una función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `secretsmanager`: recupera datos de los secretos proporcionados por el socio para una plantilla de socio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Amazon API Gateway utiliza esta política en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a un rol de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por API Gateway que requieren un rol.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `logs`— Cree y lea grupos, transmisiones y eventos de CloudWatch registros; actualice eventos; describa varios recursos.
Estos permisos se limitan a los recursos cuyo prefijo de grupo de registros comience por ·aws/apigateway/·.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Política
Esta política se utiliza AWS CloudFormation en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por CloudFormation esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sagemaker`— Permita el acceso a varios recursos de SageMaker IA, incluidos los dominios, los perfiles de usuario, las aplicaciones y las definiciones de flujos.
+ `iam`: transfiere los roles `AmazonSageMakerServiceCatalogProductsCodeBuildRole` y `AmazonSageMakerServiceCatalogProductsExecutionRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Esta política se utiliza AWS CodeBuild en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por CodeBuild esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sagemaker`— Permitir el acceso a varios recursos de SageMaker IA.
+ `codecommit`— Sube CodeCommit archivos a los CodeBuild pipelines, consulta el estado de las subidas y cancela las subidas; obtén información sobre sucursales y confirmaciones. Estos permisos se limitan a los recursos cuyo nombre comience por “sagemaker-”.
+ `ecr`: crea repositorios e imágenes de contenedores de Amazon ECR; carga capas de imágenes. Estos permisos se limitan a los repositorios cuyo nombre comience por “sagemaker-”.
`ecr`: lee todos los recursos.
+ `iam`: transfiere los siguientes roles:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`para. AWS CloudFormation
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`para AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`para AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`a Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`a Amazon SageMaker AI.
+ `logs`— Cree y lea grupos, transmisiones y eventos de CloudWatch registros; actualice eventos; describa varios recursos.
Estos permisos se limitan a los recursos cuyo prefijo de nombre comience por “aws/codebuild/”.
+ `s3`: crea, lee y enumera buckets de Amazon S3. Estos permisos se limitan a los buckets cuyo nombre comience por “sagemaker-”.
+ `codeconnections`, `codestar-connections` — Uso AWS CodeConnections y AWS CodeStar conexiones.
Para ver los permisos de esta política, consulte [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)la Referencia de políticas AWS gestionadas.
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Esta política se utiliza AWS CodePipeline en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por CodePipeline esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `cloudformation`— Crear, leer, eliminar y actualizar CloudFormation pilas; crear, leer, eliminar y ejecutar conjuntos de cambios; establecer una política de pila; etiquetar y desetiquetar los recursos. Estos permisos se limitan a los recursos cuyo nombre comience por “sagemaker-”.
+ `s3`: crea, lee, enumera y elimina buckets de Amazon S3; agrega, lee y elimina objetos de los buckets; lee y establece la configuración de CORS; lee la lista de control de acceso (ACL); y lee la región de AWS en la que reside el bucket.
Estos permisos se limitan a los buckets cuyo nombre comience por “sagemaker-” or “aws-glue-”.
+ `iam`: transfiere el rol `AmazonSageMakerServiceCatalogProductsCloudformationRole`.
+ `codebuild`— Obtenga información sobre las CodeBuild compilaciones e inicie las compilaciones. Estos permisos se limitan a los proyectos y recursos de compilación cuyo nombre comience por “sagemaker-”.
+ `codecommit`— Sube CodeCommit archivos a los CodeBuild pipelines, consulta el estado de las subidas y cancela las subidas; obtén información sobre sucursales y confirmaciones.
+ `codeconnections`, `codestar-connections` — Uso AWS CodeConnections y conexiones. AWS CodeStar
Para ver los permisos de esta política, consulte [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)la Referencia de políticas AWS gestionadas.
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsEventsServiceRole Política
Amazon utiliza esta política EventBridge en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por EventBridge esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `codepipeline`— Iniciar una CodeBuild ejecución. Estos permisos se limitan a canalizaciones cuyo nombre comience por “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Política
Amazon Data Firehose utiliza esta política en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a una función de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por Firehose que requieren una función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `firehose`: permite enviar registros de Firehose. Estos permisos se limitan a los recursos cuyo nombre de transmisión de entrega comience por “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS política gestionada: política AmazonSageMakerServiceCatalogProductsGlueServiceRole
AWS Glue utiliza esta política en los productos aprovisionados por AWS Service Catalog de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a un rol de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por Glue que requieren un rol.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `glue`— Crear, leer y eliminar particiones, tablas y versiones de tablas de AWS Glue. Estos permisos se limitan a los recursos cuyo nombre comience por “sagemaker-”. Crea y lee bases de datos de AWS Glue. Estos permisos se limitan a las bases de datos cuyo nombre sea “default”, “global\$1temp” o comience por “sagemaker-”. Funciones definidas por el usuario.
+ `s3`: crea, lee, enumera y elimina buckets de Amazon S3; agrega, lee y elimina objetos de los buckets; lee y establece la configuración de CORS; lee la lista de control de acceso (ACL); y lee la región de AWS en la que reside el bucket.
Estos permisos se limitan a los buckets cuyo nombre comience por “sagemaker-” or “aws-glue-”.
+ `logs`— Cree, lea y elimine CloudWatch registros, grupos de registros, transmisiones y entregas; y cree una política de recursos.
Estos permisos se limitan a los recursos cuyo prefijo de nombre comience por “aws/glue/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Política
Esta política se utiliza AWS Lambda en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a una función de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por Lambda que requieren una función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sagemaker`— Permitir el acceso a varios recursos de SageMaker IA.
+ `ecr`: crea y elimina repositorios de Amazon ECR; crea, lee y elimina imágenes de contenedores; carga capas de imágenes. Estos permisos se limitan a los repositorios cuyo nombre comience por “sagemaker-”.
+ `events`— Crear, leer y eliminar EventBridge reglas de Amazon; y crear y eliminar objetivos. Estos permisos se limitan a las reglas cuyo nombre comience por “sagemaker-”.
+ `s3`: crea, lee, enumera y elimina buckets de Amazon S3; agrega, lee y elimina objetos de los buckets; lee y establece la configuración de CORS; lee la lista de control de acceso (ACL); y lee la región de AWS en la que reside el bucket.
Estos permisos se limitan a los buckets cuyo nombre comience por “sagemaker-” or “aws-glue-”.
+ `iam`: transfiere el rol `AmazonSageMakerServiceCatalogProductsExecutionRole`.
+ `logs`— Crea, lee y elimina CloudWatch registros, grupos de registros, transmisiones y entregas; y crea una política de recursos.
Estos permisos se limitan a los recursos cuyo prefijo de nombre comience por “aws/lambda/”.
+ `codebuild`— Comience y obtenga información sobre las AWS CodeBuild compilaciones.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas AWS gestionadas de AWS Service Catalog
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) - Política actualizada | 10 | `codestar-connections:PassConnection`Actualizaciones y `codeconnections:PassConnection` permisos. | 27 de septiembre de 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): política actualizada | 3 | Actualizado `codestar-connections:UseConnection` y `codeconnections:UseConnection` permisos. | 27 de septiembre de 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): política actualizada | 3 | Actualizado `codestar-connections:UseConnection` y `codeconnections:UseConnection` permisos. | 27 de septiembre de 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): política actualizada | 9 | Se agregaron los permisos `cloudformation:TagResource`, `cloudformation:UntagResource` y `codeconnections:PassConnection`. | 1 de julio de 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 7 | La política se ha revertido a la versión 7 (v7). Se han eliminado los permisos `cloudformation:TagResource`, `cloudformation:UntagResource` y `codeconnections:PassConnection`. | 12 de junio de 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 8 | Se agregaron los permisos `cloudformation:TagResource`, `cloudformation:UntagResource` y `codeconnections:PassConnection`. | 11 de junio de 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): política actualizada | 2 | Se agregaron los permisos `codestar-connections:UseConnection` y `codeconnections:UseConnection`. | 11 de junio de 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): política actualizada | 2 | Se han añadido los permisos `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` y `codeconnections:UseConnection`. | 11 de junio de 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy): política actualizada | 2 | Se agregaron los permisos `codebuild:StartBuild` y `codebuild:BatchGetBuilds`. | 11 de junio de 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Política inicial | 1 de agosto de 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Política inicial | 1 de agosto de 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Política inicial | 1 de agosto de 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy): política actualizada | 2 | Se agregó el permiso para `glue:GetUserDefinedFunctions`. | 26 de agosto de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 7 | Se agregó el permiso para `sagemaker:AddTags`. | 2 de agosto de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 6 | Se agregó el permiso para `lambda:TagResource`. | 14 de julio de 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolítica | 1 | Política inicial | 4 de abril de 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Política inicial | 24 de marzo de 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Política inicial | 24 de marzo de 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Política inicial | 24 de marzo de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 5 | Se agregó el permiso para `ecr-idp:TagResource`. | 21 de marzo de 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Política inicial | 22 de febrero de 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Política inicial | 22 de febrero de 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Política inicial | 22 de febrero de 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolítica | 1 | Política inicial | 22 de febrero de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 4 | Se agregaron permisos para `cognito-idp:TagResource` y `s3:PutBucketCORS`. | 16 de febrero de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 3 | Se agregaron nuevos permisos para `sagemaker`. Crear, leer, actualizar y eliminar SageMaker imágenes. | 15 de septiembre de 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 2 | Se agregaron permisos para `sagemaker` y `codestar-connections`. Crea, lee, actualiza y elimina repositorios de código. Pase AWS CodeStar las conexiones a AWS CodePipeline. | 1 de julio de 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Política inicial | 27 de noviembre de 2020 |
## SageMaker Actualizaciones de IA de las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para la SageMaker IA desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess): actualización de una política existente | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 de diciembre de 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess): actualización de una política existente | 26 | Se agregó el permiso `sagemaker:AddTags`. | 29 de marzo de 2024 |
| AmazonSageMakerFullAccess - Actualización de una política existente | 25 | Se han añadido los permisos `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` y `s3express:ListAllMyDirectoryBuckets`. | 30 de noviembre de 2023 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 24 | Se agregaron los permisos `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` y `sagemaker:ListSpaces`. | 30 de noviembre de 2022 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 23 | Añada `glue:UpdateTable`. | 29 de junio de 2022 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 22 | Añada `cloudformation:ListStackResources`. | 1 de mayo de 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly): actualización de una política existente | 11 | Se agregaron los permisos `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy`. | 1 de diciembre de 2021 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 21 | Se agregaron los permisos `sns:Publish` para los puntos de conexión con la inferencia asíncrona habilitada. | 8 de septiembre de 2021 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 20 | Se actualizaron los recursos y los permisos de `iam:PassRole`. | 15 de julio de 2021 |
| AmazonSageMakerReadOnly - Actualización a una política existente | 10 | `BatchGetRecord`Se agregó una nueva API para SageMaker AI Feature Store. | 10 de junio de 2021 |
| | | SageMaker AI comenzó a rastrear los cambios en sus políticas AWS gestionadas. | 1 de junio de 2021 |