Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configurar la seguridad en Amazon SageMaker AI
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad que se aplican a Amazon SageMaker AI, consulte [AWS Servicios dentro del alcance por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida al utilizar la SageMaker IA. Los siguientes temas le muestran cómo configurar la SageMaker IA para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus recursos de SageMaker IA.
**Topics**
+ [Privacidad de datos en Amazon SageMaker AI](data-privacy.md)
+ [Protección de datos en Amazon SageMaker AI](data-protection.md)
+ [AWS Identity and Access Management para Amazon SageMaker AI](security-iam.md)
+ [Registro y supervisión](sagemaker-incident-response.md)
+ [Validación de conformidad para Amazon SageMaker AI](sagemaker-compliance.md)
+ [Resiliencia en Amazon SageMaker AI](disaster-recovery-resiliency.md)
+ [Seguridad de infraestructura en Amazon SageMaker AI](infrastructure-security.md)
# Privacidad de datos en Amazon SageMaker AI
Amazon SageMaker AI recopila información agregada sobre el uso de bibliotecas AWS propias y de código abierto que se utilizan durante la formación. SageMaker La IA utiliza estos metadatos agregados para mejorar los servicios y la experiencia del cliente.
En las siguientes secciones se explica el tipo de metadatos que recopila SageMaker AI y cómo excluirse de la recopilación de metadatos.
## Tipos de información recopilada
**Información de uso**
Metadatos AWS de bibliotecas propias y de código abierto que se utilizan con fines de SageMaker formación, como las que se utilizan para la formación, la compilación y la cuantificación distribuidas.
**Errores**
Errores debidos a un comportamiento inesperado, como fallos, bloqueos, cascadas y fallos que se producen al interactuar con la plataforma de formación. SageMaker
## Desactivación de la recopilación de metadatos
Puedes optar por no compartir los metadatos agregados con la SageMaker formación al crear un trabajo de formación mediante la `CreateTrainingJob` API. Si utiliza la consola para crear trabajos de entrenamiento, la recopilación de metadatos está desactivada de forma predeterminada.
**importante**
Debe desactivar la recopilación de metadatos para cada trabajo de entrenamiento que envíe. También debe desactivarla en una llamada a la API, como se muestra en los siguientes ejemplos. No puede desactivarla dentro de un script de entrenamiento.
La siguiente sección muestra cómo puede excluirse de la recopilación de metadatos mediante el AWS CLI AWS SDK para Python (Boto3), o el SDK de SageMaker Python.
### Opte por no participar en la recopilación de metadatos mediante AWS Command Line Interface (AWS CLI)
Para excluirse de la recopilación de metadatos mediante el AWS CLI, `OPT_OUT_TRACKING` defina la variable de entorno `1` en la `create-training-job` API, como se muestra en el siguiente ejemplo de código.
```
aws sagemaker create-training-job \
--training-job-name your_job_name \
--algorithm-specification AlgorithmName=your_algorithm_name\
--output-data-config S3OutputPath=s3://bucket-name/key-name-prefix \
--resource-config InstanceType=ml.c5.xlarge, InstanceCount=1 \
--stopping-condition MaxRuntimeInSeconds=100 \
--environment OPT_OUT_TRACKING=1
```
### Opte por no participar en la recopilación de metadatos mediante el AWS SDK para Python (Boto3)
Para desactivar la recopilación de metadatos mediante el SDK para Python (Boto3), defina la variable de entorno `OPT_OUT_TRACKING` en `1` en la API de `create_training_job`, como se muestra en el siguiente ejemplo de código.
```
boto3.client('sagemaker').create_training_job(
TrainingJobName='your_training_job',
AlgorithmSpecification={
'AlgorithmName': 'your_algorithm_name',
'TrainingInputMode': 'File',
},
RoleArn='your_arn',
OutputDataConfig={
'S3OutputPath': 's3://bucket-name/key-name-prefix',
},
ResourceConfig={
'InstanceType': 'ml.m4.xlarge',
'InstanceCount': 1,
'VolumeSizeInGB': 123,
},
StoppingCondition={
'MaxRuntimeInSeconds': 123,
},
Environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Excluirse de la recopilación de metadatos mediante el SDK de SageMaker Python
Para excluirse de la recopilación de metadatos mediante el SDK de SageMaker Python, `OPT_OUT_TRACKING` defina la variable de entorno como `1` dentro de un estimador de SageMaker IA, como se muestra en el siguiente ejemplo de código.
```
sagemaker.estimator(
image_uri='path_to_container',
role='rolearn',
instance_count=1,
instance_type='ml.c5.xlarge',
environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Desactivación de la recopilación de metadatos en toda la cuenta
Si quiere desactivar la recopilación de metadatos de varias cuentas, puede configurar una variable de entorno para desactivar el seguimiento en toda la cuenta. Debe usar el SDK de Python para SageMaker IA para excluirse de la recopilación de metadatos a nivel de cuenta.
El siguiente ejemplo de código muestra cómo desactivar el seguimiento en toda la cuenta.
```
SchemaVersion: '1.0'
SageMaker:
TrainingJob:
Environment:
'OPT_OUT_TRACKING': '1'
```
Para obtener más información sobre cómo excluirse del seguimiento en toda la cuenta, consulta [Configuración y uso de valores predeterminados con el SDK de Python SageMaker ](https://sagemaker.readthedocs.io/en/stable/overview.html#id22).
## Información adicional
**Si su servicio posterior depende de la formación en IA SageMaker **
Si utilizas un servicio que se basa en la SageMaker formación, te recomendamos encarecidamente que informes a tus clientes sobre la recopilación agregada de metadatos en la plataforma de SageMaker formación y les des la opción de excluirlos. También puede desactivar la recopilación de metadatos en nombre de su cliente.
**Si es cliente o cliente de un servicio que utiliza la formación en SageMaker IA**
Si es cliente o cliente de un servicio que utiliza la SageMaker formación, utilice el método que prefiera en la sección anterior para excluirse de la recopilación de metadatos.
# Protección de datos en Amazon SageMaker AI
El AWS [modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) de se aplica a protección de datos en Amazon SageMaker AI. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados que contienen Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabajas con Amazon SageMaker AI u otro tipo Servicios de AWS mediante la consola AWS CLI, la API o AWS SDKs. Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
**Topics**
+ [Protección mediante cifrado de datos en reposo](encryption-at-rest.md)
+ [Protección de los datos en tránsito con cifrado](encryption-in-transit.md)
+ [Administración de claves](key-management.md)
+ [Privacidad del tráfico entre redes](inter-network-privacy.md)
# Protección mediante cifrado de datos en reposo
Amazon SageMaker AI cifra automáticamente los datos mediante una versión Clave administrada de AWS para Amazon S3 (SSE-S3) de forma predeterminada para las siguientes funciones: cuadernos Studio, instancias de cuadernos, datos de creación de modelos, artefactos de modelos y resultados de trabajos de entrenamiento, transformación por lotes y procesamiento.
Para el acceso entre cuentas, debe especificar su propia clave administrada por el cliente al crear los recursos de SageMaker IA, ya que la clave predeterminada Clave administrada de AWS de Amazon S3 no se puede compartir entre cuentas. Para enviar datos a Amazon S3 Express One Zone, estos se cifran en el servidor con claves administradas por Amazon S3 (SSE-S3). Además, la salida de datos a los buckets de directorio de Amazon S3 no se puede cifrar con el cifrado del lado del servidor mediante AWS Key Management Service claves (SSE-KMS). [Para obtener más información, consulte ¿Qué es? AWS KMSAWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Topics**
+ [Cuaderno de Studio](encryption-at-rest-studio.md)
+ [Instancias de cuadernos, trabajos de SageMaker IA y puntos finales](encryption-at-rest-nbi.md)
+ [SageMaker capacidades geoespaciales](geospatial-encryption-at-rest.md)
# Cuaderno de Studio
En Amazon SageMaker Studio, las libretas y los datos de SageMaker Studio se pueden almacenar en las siguientes ubicaciones:
+ Un depósito S3: cuando te incorporas a Studio y habilitas los recursos de bloc de notas que se pueden compartir, la SageMaker IA comparte las instantáneas y los metadatos del bloc de notas en un depósito de Amazon Simple Storage Service (Amazon S3).
+ Un volumen EFS: cuando te incorporas a Studio, SageMaker AI adjunta un volumen de Amazon Elastic File System (Amazon EFS) a tu dominio para almacenar tus libretas y archivos de datos de Studio. El volumen EFS persiste después de eliminar el dominio.
+ Un volumen de EBS: cuando abre un cuaderno en Studio, se asocia un Amazon Elastic Block Store (Amazon EBS) a la instancia en la que se ejecuta el cuaderno. El volumen de EBS se conserva mientras dure la instancia.
SageMaker AI usa AWS Key Management Service (AWS KMS) para cifrar el bucket de S3 y ambos volúmenes. De forma predeterminada, utiliza una clave de KMS administrada en una cuenta de servicio de AWS . Para tener más control, puedes especificar tu propia clave gestionada por el cliente al iniciar sesión en Studio o a través de la SageMaker API. Para obtener más información, consulte [Descripción general del dominio Amazon SageMaker AI](gs-studio-onboard.md) y [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
En la API `CreateDomain`, se utiliza el parámetro `S3KmsKeyId` para especificar la clave administrada por el cliente para los cuadernos que se pueden compartir. El parámetro `KmsKeyId` se utiliza para especificar la clave administrada por el cliente para los volúmenes de EFS y EBS. Se utiliza la misma clave administrada por el cliente para ambos volúmenes. La clave administrada por el cliente para los cuadernos que se pueden compartir puede ser la misma clave administrada por el cliente que se utilizó para los volúmenes o una clave administrada por el cliente diferente.
**importante**
El directorio de trabajo de los usuarios dentro del volumen de almacenamiento es `/home/sagemaker-user`. Si especificas tu propia AWS KMS clave, todo el contenido del directorio de trabajo se cifra con tu clave gestionada por el cliente. Si no especificas una AWS KMS clave, los datos que contiene `/home/sagemaker-user` se cifran con una clave AWS gestionada. Independientemente de si se especifica una AWS KMS clave, todos los datos que se encuentran fuera del directorio de trabajo se cifran con una clave AWS gestionada.
# Instancias de cuadernos, trabajos de SageMaker IA y puntos finales
Para cifrar el volumen de almacenamiento del aprendizaje automático (ML) adjunto a las libretas, las tareas de procesamiento, las tareas de formación, las tareas de ajuste de hiperparámetros, las tareas de transformación por lotes y los puntos finales, puede pasarle una clave a la IA. AWS KMS SageMaker Si no especificas una clave KMS, SageMaker AI cifra los volúmenes de almacenamiento con una clave transitoria y la descarta inmediatamente después de cifrar el volumen de almacenamiento. En el caso de las instancias de notebook, si no especificas una clave KMS, SageMaker AI cifra tanto los volúmenes del sistema operativo como los volúmenes de datos de aprendizaje automático con una clave KMS administrada por el sistema.
Puede usar una AWS KMS clave AWS administrada para cifrar todos los volúmenes del sistema operativo de la instancia. Puede cifrar todos los volúmenes de datos de aprendizaje automático de todas las instancias de SageMaker IA con la AWS KMS clave que especifique. Los volúmenes de almacenamiento de ML se montan de la siguiente manera:
+ Blocs de notas: `/home/ec2-user/SageMaker`
+ Procesamiento: `/opt/ml/processing` y `/tmp/`
+ Capacitación: `/opt/ml/` y `/tmp/`
+ Lote: `/opt/ml/` y `/tmp/`
+ Puntos de enlace: `/opt/ml/` y `/tmp/`
Los contenedores de trabajos de entrenamiento, transformación por lotes y procesamiento tienen una naturaleza efímera. Cuando se completa el trabajo, la salida se carga en Amazon S3 mediante el AWS KMS cifrado con una AWS KMS clave opcional que usted especifique y la instancia se desmonta. Si no se proporciona ninguna AWS KMS clave en la solicitud de trabajo, SageMaker AI utilizará la AWS KMS clave predeterminada de Amazon S3 para la cuenta de su función. Si los datos de salida se almacenan en Amazon S3 Express One Zone, se cifran con cifrado del servidor con claves administradas de Amazon S3 (SSE-S3). Actualmente, no se admite el cifrado con AWS KMS claves del lado del servidor (SSE-KMS) para almacenar los datos de salida de SageMaker IA en los buckets de directorio de Amazon S3.
**nota**
La política clave de una clave AWS gestionada para Amazon S3 no se puede editar, por lo que no se pueden conceder permisos entre cuentas para estas políticas clave. Si el bucket de Amazon S3 de salida de la solicitud proviene de otra cuenta, especifique su propia clave de AWS KMS cliente en la solicitud de trabajo y asegúrese de que la función de ejecución del trabajo tenga permisos para cifrar los datos con ella.
**importante**
La información confidencial que por razones de conformidad tenga que cifrarse con una clave de KMS debe almacenarse en el volumen de almacenamiento de ML o en Amazon S3, ya que ambos permiten especificar una clave de KMS para el cifrado.
Al abrir una instancia de bloc de notas, SageMaker AI la guarda, junto con todos los archivos asociados, en la carpeta SageMaker AI del volumen de almacenamiento de ML de forma predeterminada. Al detener una instancia de bloc de notas, la SageMaker IA crea una instantánea del volumen de almacenamiento de ML. Se pierde cualquier personalización del sistema operativo de la instancia detenida, como las bibliotecas personalizadas instaladas o la configuración a nivel del sistema operativo, que se guarde fuera de la carpeta`/home/ec2-user/SageMaker`. Considere la posibilidad de utilizar una configuración de ciclo de vida para automatizar las personalizaciones de la instancia de bloc de notas predeterminada. Al terminar una instancia, se eliminan la instantánea y el volumen de almacenamiento de ML. Cualquier dato que tenga que perdurar durante más tiempo que la vida útil de la instancia del cuaderno deberá transferirse a un bucket de Amazon S3.
Si la instancia del bloc de notas no está actualizada y ejecuta un software no seguro, es posible que la SageMaker IA actualice periódicamente la instancia como parte del mantenimiento regular. Durante estas actualizaciones, los datos que se encuentran fuera de la carpeta no `/home/ec2-user/SageMaker` se conservan. Para obtener información sobre los parches de mantenimiento y seguridad, consulte[Mantenimiento](nbi.md#nbi-maintenance).
**nota**
Algunas instancias de SageMaker IA basadas en Nitro incluyen almacenamiento local, según el tipo de instancia. Los volúmenes de almacenamiento local se cifran mediante un módulo de hardware en la instancia. No puede usar una clave de KMS en un tipo de instancia con almacenamiento local. Para obtener una lista de los tipos de instancia que admiten el almacenamiento de instancias local, consulte [Volúmenes de almacén de instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes). Para obtener más información sobre los volúmenes de almacenamiento en las instancias basadas en Nitro, consulte [Amazon EBS y NVMe sobre las instancias de Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Para obtener más información acerca del cifrado de almacenamiento de instancias local, consulte [Volúmenes de almacén de instancias SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
# SageMaker capacidades geoespaciales
Puede proteger sus datos en reposo mediante el cifrado geoespacial. SageMaker
**Cifrado del lado del servidor con clave SageMaker geoespacial propiedad de Amazon (predeterminada)**
Las capacidades SageMaker geoespaciales de Amazon cifran todos sus datos, incluidos los resultados computacionales de sus metadatos de servicio `EarthObservationJobs` `VectorEnrichmentJobs` y los de todos ellos. No hay datos almacenados en Amazon SageMaker AI sin cifrar. Utiliza un valor predeterminado Clave propiedad de AWS para cifrar todos sus datos.
**Cifrado del lado del servidor con claves de KMS almacenadas (SSE-KMS) AWS Key Management Service**
Las capacidades SageMaker geoespaciales de Amazon admiten el cifrado mediante una clave KMS propiedad del cliente. Para obtener más información, consulte [Utilizar AWS KMS permisos para las capacidades SageMaker geoespaciales de Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/geospatial-kms.html).
# Protección de los datos en tránsito con cifrado
Todos los datos en tránsito entre redes admiten el cifrado TLS 1.2. Se recomienda utilizar TLS 1.3.
Con Amazon SageMaker AI, los artefactos de los modelos de aprendizaje automático (ML) y otros artefactos del sistema se cifran en tránsito y en reposo. Las solicitudes a la API y la consola de SageMaker IA se realizan a través de una conexión segura (SSL). Transfieres AWS Identity and Access Management funciones a la SageMaker IA para que te dé permisos de acceso a los recursos en tu nombre con fines de formación e implementación.
Algunos datos en tránsito entre redes (dentro de la plataforma de servicios) no están cifrados. Esto incluye:
+ Comando y control de las comunicaciones entre el plano de control de servicio y las instancias de trabajo de capacitación (no los datos del cliente).
+ Comunicaciones entre nodos en trabajos de procesamiento distribuidos (dentro de la red).
+ Comunicaciones entre nodos en trabajos de entrenamiento distribuidos (dentro de la red).
No hay comunicaciones entre nodos para el procesamiento por lotes.
Puede optar por cifrar la comunicación entre los nodos de un clúster de tareas de formación y un clúster de tareas de procesamiento.
**nota**
Para los casos de uso en el sector sanitario, la práctica de seguridad recomendada es cifrar la comunicación entre los nodos.
Para obtener información acerca de cómo cifrar la comunicación, consulte el siguiente tema en [Protección de las comunicaciones entre instancias de computación de machine learning en un trabajo de entrenamiento distribuido](train-encrypt.md).
**nota**
El cifrado de tráfico entre contenedores puede aumentar el tiempo de entrenamiento, especialmente si se utilizan algoritmos de aprendizaje profundo distribuidos. Para los algoritmos afectadas, agregar este nivel de seguridad adicional también aumenta los costos. Por lo general, el tiempo de entrenamiento de la mayoría de los algoritmos integrados de SageMaker IA XGBoost, como DeepAR y Linear Learner, no se ve afectado.
Los puntos finales validados por FIPS están disponibles para la API de SageMaker IA y el router de solicitud para los modelos alojados (tiempo de ejecución). Para obtener información acerca de los puntos de enlace conformes con FIPS, consulte [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
## Proteja las comunicaciones con RStudio Amazon SageMaker AI
RStudio en Amazon, la SageMaker IA proporciona cifrado para todas las comunicaciones que involucran componentes de SageMaker IA. Sin embargo, la versión anterior no admitía el cifrado entre la RSession aplicación RStudio ServerPro y la aplicación.
RStudio lanzó la versión 2022.02.2-485.pro2 en abril de 2022. Esta versión admite el cifrado entre aplicaciones y aplicaciones para habilitar el cifrado. RStudio ServerPro RSession end-to-end Sin embargo, la actualización de la versión no es completamente compatible con versiones anteriores. Como resultado, debes actualizar todas tus RSession aplicaciones RStudio ServerPro y. Para obtener información sobre cómo actualizar las aplicaciones, consulte [RStudio Control de versiones](rstudio-version.md).
# Protección de las comunicaciones entre instancias de computación de machine learning en un trabajo de entrenamiento distribuido
De forma predeterminada, Amazon SageMaker AI ejecuta trabajos de formación en una Amazon Virtual Private Cloud (Amazon VPC) para ayudar a mantener sus datos seguros. Puede añadir otro nivel de seguridad para proteger los contenedores de capacitación y los datos mediante la configuración de una VPC *privada*. Los algoritmos y los marcos de trabajo de ML distribuidos suelen trasmitir información que está directamente relacionada con el modelo, como ponderaciones, no con el conjunto de datos de entrenamiento. Al realizar la capacitación distribuida, puede proteger aún más los datos que se transmiten entre instancias. Esto puede ayudarle a cumplir con los requisitos reglamentarios. Para ello, utilice el cifrado de tráfico entre contenedores.
**nota**
Para los casos de uso en el sector sanitario, la práctica de seguridad recomendada es cifrar la comunicación entre los nodos.
La habilitación del cifrado de tráfico entre contenedores puede aumentar el tiempo de capacitación, especialmente si se utilizan algoritmos de aprendizaje profundo distribuidos. La habilitación del cifrado de tráfico entre contenedores no afecta a los trabajos de capacitación con una sola instancia de computación. Sin embargo, en los trabajos de capacitación con varias instancias de computación, el efecto en la duración de la capacitación depende de la cantidad de comunicación entre instancias informáticas. Para los algoritmos afectadas, el hecho de añadir esta nivel de seguridad adicional también aumenta los costos. Por lo general, el tiempo de entrenamiento de la mayoría de los algoritmos integrados de SageMaker IA XGBoost, como DeepAR y Linear Learner, no se ve afectado.
Puede habilitar el cifrado de tráfico entre contenedores para los trabajos de capacitación o de ajuste de hiperparámetros. Puedes usar SageMaker APIs nuestra consola para habilitar el cifrado del tráfico entre contenedores.
Para obtener información sobre la ejecución de trabajos de capacitación en una VPC privada, consulte [Ofrezca a los trabajos de formación en SageMaker IA acceso a los recursos de su Amazon VPC](train-vpc.md).
## Habilitación del cifrado de tráfico entre contenedores (API)
Antes de habilitar el cifrado del tráfico entre contenedores en tareas de entrenamiento o ajuste de hiperparámetros APIs, añada reglas de entrada y salida al grupo de seguridad de su VPC privada.
**Para habilitar el cifrado de tráfico entre contenedores (API)**
1. Añada las siguientes reglas de entrada y salida al grupo de seguridad de la VPC privada:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/train-encrypt.html)
1. Al enviar una solicitud a la API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) o a la API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), especifique `True` para el parámetro `EnableInterContainerTrafficEncryption`.
**nota**
Para el `ESP 50` protocolo, la consola del grupo AWS de seguridad puede mostrar el rango de puertos como «Todos». Sin embargo, Amazon EC2 hace caso omiso del rango de puertos especificado porque no es aplicable al protocolo IP ESP 50.
## Habilitación del cifrado de tráfico entre contenedores (consola)
### Habilitación del cifrado de tráfico entre contenedores en un trabajo de capacitación
**Para habilitar el cifrado de tráfico entre contenedores en un trabajo de capacitación**
1. Abre la consola Amazon SageMaker AI en [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. En el panel de navegación, elija **Entrenamiento**; a continuación, elija **Trabajos de entrenamiento**.
1. Elija **Crear trabajo de entrenamiento**.
1. En **Network (Red)**, elija una **VPC**. Puede utilizar la VPC predeterminada o una que haya creado.
1. Elija **Enable inter-container traffic encryption (Habilitar el cifrado de tráfico entre contenedores)**.
Una vez habilitado el cifrado de tráfico entre contenedores, termine de crear el trabajo de capacitación. Para obtener más información, consulte [Capacitación de un modelo](ex1-train-model.md).
### Habilitación del cifrado de tráfico entre contenedores en un trabajo de ajuste de hiperparámetros
**Para habilitar el cifrado de tráfico entre contenedores en un trabajo de ajuste de hiperparámetros**
1. Abre la consola Amazon SageMaker AI en [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. En el panel de navegación, elija **Training (Capacitación)** y, a continuación, elija **Hyperparameter tuning jobs (Trabajos de ajuste de hiperparámetros)**.
1. Elija **Create hyperparameter tuning job (Crear trabajo de ajuste de hiperparámetros)**
1. En **Network (Red)**, elija una **VPC**. Puede utilizar la VPC predeterminada o una que haya creado.
1. Elija **Enable inter-container traffic encryption (Habilitar el cifrado de tráfico entre contenedores)**.
Una vez habilitado el cifrado de tráfico entre contenedores, termine de crear el trabajo de ajuste de hiperparámetros. Para obtener más información, consulte [Configuración y lanzamiento de un trabajo de ajuste de hiperparámetros](automatic-model-tuning-ex-tuning-job.md).
# Administración de claves
Los clientes pueden especificar AWS KMS claves, incluida la de traer sus propias claves (BYOK), para utilizarlas en el cifrado de sobres con input/output buckets de Amazon S3 y volúmenes de Amazon EBS de aprendizaje automático (ML). Los volúmenes de aprendizaje automático para las instancias de notebook y para el procesamiento, el entrenamiento y los modelos hospedados de contenedores Docker se pueden cifrar opcionalmente con claves propiedad del cliente. AWS KMS Todos los volúmenes del sistema operativo de la instancia se cifran con una clave administrada AWS. AWS KMS
**nota**
Algunas instancias basadas en Nitro incluyen almacenamiento local, en función del tipo de instancia. Los volúmenes de almacenamiento local se cifran mediante un módulo de hardware en la instancia. No puede solicitar una `VolumeKmsKeyId` cuando se utiliza un tipo de instancia con almacenamiento local.
Para obtener una lista de los tipos de instancia que admiten el almacenamiento de instancias local, consulte [Volúmenes de almacén de instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes).
Para obtener más información acerca del cifrado de almacenamiento de instancias local, consulte [Volúmenes de almacén de instancias SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
Para obtener más información sobre los volúmenes de almacenamiento en las instancias basadas en Nitro, consulte [Amazon EBS y NVMe sobre las instancias de Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Para obtener información sobre AWS KMS las claves, consulte [¿Qué es el servicio de administración de AWS claves?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) en la *Guía para AWS Key Management Service desarrolladores*.
# Privacidad del tráfico entre redes
En este tema se describe cómo Amazon SageMaker AI protege las conexiones desde el servicio a otras ubicaciones.
Las comunicaciones entre redes admiten el cifrado TLS 1.2 entre todos los componentes y clientes. Nosotros recomendamos TLS 1.3.
Las instancias se pueden conectar a la VPC del cliente, lo que proporciona acceso a los puntos de enlace de la VPC de S3 o a los repositorios de clientes. El cliente puede administrar la salida de Internet a través de esta interfaz si la salida a Internet de la plataforma de servicio está deshabilitada para blocs de notas. Para la capacitación y el alojamiento, la salida a través de la plataforma de servicio no está disponible cuando se conecta a la VPC del cliente.
De forma predeterminada, las llamadas a la API realizadas a los puntos de conexión publicados atraviesan la red pública hasta el router de solicitud. SageMaker La IA es compatible con los puntos de enlace de la interfaz Amazon Virtual Private Cloud con tecnología de conectividad privada entre la VPC del cliente y el router de solicitud para acceder a los puntos de enlace del modelo alojado. AWS PrivateLink Para obtener información acerca de Amazon VPC, consulte [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md).
# AWS Identity and Access Management para Amazon SageMaker AI
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse* (iniciar sesión) y quién puede *autorizarse* (tener permisos) para usar SageMaker los recursos de IA. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Amazon SageMaker AI con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad de Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
+ [Prevención de la sustitución confusa entre servicios](security-confused-deputy-prevention.md)
+ [Cómo utilizar las funciones de ejecución de la SageMaker IA](sagemaker-roles.md)
+ [Gestor de SageMaker funciones de Amazon](role-manager.md)
+ [Control de acceso para cuadernos](security-access-control.md)
+ [Permisos de la API de Amazon SageMaker AI: referencia sobre acciones, permisos y recursos](api-permissions-reference.md)
+ [AWS políticas gestionadas para Amazon SageMaker AI](security-iam-awsmanpol.md)
+ [Solución de problemas de Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon SageMaker AI con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad de Amazon SageMaker AI](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon SageMaker AI con IAM
**importante**
Las políticas de IAM personalizadas que permiten a Amazon SageMaker Studio o Amazon SageMaker Studio Classic crear SageMaker recursos de Amazon también deben conceder permisos para añadir etiquetas a esos recursos. El permiso para añadir etiquetas a los recursos es necesario porque Studio y Studio Classic etiquetan automáticamente todos los recursos que crean. Si una política de IAM permite a Studio y Studio Classic crear recursos, pero no permite el etiquetado, se pueden producir errores de tipo AccessDenied «» al intentar crear recursos. Para obtener más información, consulte [Proporcione permisos para etiquetar los recursos de SageMaker IA](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS políticas gestionadas para Amazon SageMaker AI](security-iam-awsmanpol.md)que otorgan permisos para crear SageMaker recursos ya incluyen permisos para añadir etiquetas al crear esos recursos.
Antes de utilizar la IAM para gestionar el acceso a la SageMaker IA, debe comprender qué funciones de la IAM están disponibles para su uso con SageMaker la IA. *Para obtener una visión general de cómo la SageMaker IA y otros AWS servicios funcionan con la IAM, consulte la sección [AWS Servicios que funcionan con la IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_aws-services-that-work-with-iam.html) en la Referencia de autorización de servicios.*
**Topics**
+ [Políticas basadas en identidad para Amazon AI SageMaker](#security_iam_service-with-iam-id-based-policies)
+ [Políticas basadas en recursos en Amazon AI SageMaker](#security_iam_service-with-iam-resource-based-policies)
+ [Acciones políticas para Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos de políticas para Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-resources)
+ [Claves de condición de la política para Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Autorización basada en etiquetas de IA SageMaker](#security_iam_service-with-iam-tags)
+ [SageMaker Funciones de IA e IAM](#security_iam_service-with-iam-roles)
## Políticas basadas en identidad para Amazon AI SageMaker
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. SageMaker La IA admite acciones, recursos y claves de condición específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [IAM JSON Policy Elements Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) en *Referencia de autorizaciones de servicio*.
## Políticas basadas en recursos en Amazon AI SageMaker
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los directores pueden incluir cuentas, usuarios, roles, usuarios federados o servicios. AWS
Para habilitar el acceso entre cuentas, puedes especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Añadir a una política en función de recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Cuando la entidad principal y el recurso se encuentran en cuentas de AWS diferentes, un administrador de IAM de la cuenta de confianza también debe conceder a la entidad principal (usuario o rol) permiso para acceder al recurso. Para conceder el permiso, adjunte la entidad a una política basada en identidad. Sin embargo, si la política basada en recursos concede acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
**nota**
Úselo [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)para compartir de forma segura los recursos de SageMaker IA compatibles. Para encontrar la lista de recursos que se pueden compartir, consulta los recursos de [Amazon SageMaker AI que se pueden compartir](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
## Acciones políticas para Amazon SageMaker AI
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas en SageMaker IA utilizan el siguiente prefijo antes de la acción:`sagemaker:`. Por ejemplo, para conceder a alguien permiso para realizar un trabajo de formación de SageMaker IA con la operación de la `CreateTrainingJob` API de SageMaker IA, debes incluir la `sagemaker:CreateTrainingJob` acción en su política. Las declaraciones de política deben incluir un `NotAction` elemento `Action` o. SageMaker La IA define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"sagemaker:action1",
"sagemaker:action2"
]
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "sagemaker:Describe*"
```
Para ver una lista de acciones de SageMaker IA, consulte [Acciones, recursos y claves de condición de Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) en la *Referencia de autorización de servicio*.
## Recursos de políticas para Amazon SageMaker AI
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento `Resource` o `NotResource`. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Puedes hacerlo para acciones que admitan un tipo de recurso específico, conocido como *permisos de nivel de recurso*.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utiliza un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de recursos de Amazon SageMaker AI y sus ARNs correspondientes, consulte las siguientes referencias sobre las acciones, los tipos de recursos y las claves de condición definidas por Amazon SageMaker AI en la *Referencia de autorización de servicio*.
+ [Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)
+ [Capacidades SageMaker geoespaciales de Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)
+ [Amazon SageMaker Ground Truth Synthetic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergroundtruthsynthetic.html)
+ [Amazon SageMaker AI con MLflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakerwithmlflow.html)
Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
## Claves de condición de la política para Amazon SageMaker AI
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
SageMaker La IA define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las [claves de contexto de condición AWS globales](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_condition-keys.html) en la *Referencia de autorización de servicios*.
SageMaker La IA admite una serie de claves de condición específicas del servicio que puede utilizar como control de acceso detallado para las siguientes operaciones:
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html)
Para ver una lista de claves de condición de SageMaker IA, consulta [Claves de condición de Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) en la *Referencia de autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
Para ver ejemplos del uso de claves de condición de SageMaker IA, consulte lo siguiente:[Controle la creación de recursos de SageMaker IA con claves de condición](security_iam_id-based-policy-examples.md#sagemaker-condition-examples).
### Ejemplos
Para ver ejemplos de políticas de SageMaker IA basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad de Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
## Autorización basada en etiquetas de IA SageMaker
Puede adjuntar etiquetas a los recursos de SageMaker IA o pasarlas a SageMaker AI en una solicitud. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) de una política utilizando las claves de condición `sagemaker:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información sobre el etiquetado de los recursos de SageMaker IA, consulte[Controle el acceso a los recursos de SageMaker IA mediante etiquetas](security_iam_id-based-policy-examples.md#access-tag-policy).
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Controle el acceso a los recursos de SageMaker IA mediante etiquetas](security_iam_id-based-policy-examples.md#access-tag-policy).
## SageMaker Funciones de IA e IAM
Un [rol de IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Uso de credenciales temporales con IA SageMaker
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
SageMaker La IA admite el uso de credenciales temporales.
### Roles vinculados a servicios
SageMaker La IA admite parcialmente las funciones [vinculadas al servicio](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Los roles vinculados a servicios están disponibles actualmente para Studio Classic. SageMaker
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
SageMaker La IA apoya las funciones de servicio.
### Elegir una función de IAM en la IA SageMaker
Al crear una instancia de cuaderno, un trabajo de procesamiento, un trabajo de formación, un punto final alojado o un recurso de trabajo de transformación por lotes en SageMaker IA, debe elegir un rol que permita a la SageMaker IA acceder a la SageMaker IA en su nombre. Si ya ha creado un rol de servicio o un rol vinculado a un servicio, SageMaker AI le proporcionará una lista de roles entre los que elegir. Es importante elegir un rol que te permita acceder a AWS las operaciones y los recursos que necesitas. Para obtener más información, consulte [Cómo utilizar las funciones de ejecución de la SageMaker IA](sagemaker-roles.md).
# Ejemplos de políticas basadas en la identidad de Amazon SageMaker AI
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear o modificar recursos de SageMaker IA. Tampoco pueden realizar tareas con la AWS API Consola de administración de AWS AWS CLI, o. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe asociar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos. Para aprender a asociar políticas a un usuario o grupo de IAM, consulte [Adding and Removing IAM Identity Permissions](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_manage-attach-detach.html) en *Referencia de autorizaciones de servicio*.
Para aprender a crear una política basada en identidades de IAM utilizando estos documentos de políticas de JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_create.html#access_policies_create-json-editor).
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de IA SageMaker](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Controle la creación de recursos de SageMaker IA con claves de condición](#sagemaker-condition-examples)
+ [Controle el acceso a la API de SageMaker IA mediante políticas basadas en la identidad](#api-access-policy)
+ [Limite el acceso a la API de SageMaker IA y a las llamadas en tiempo de ejecución por dirección IP](#api-ip-filter)
+ [Límite del acceso a una instancia de cuaderno por dirección IP](#nbi-ip-filter)
+ [Controle el acceso a los recursos de SageMaker IA mediante etiquetas](#access-tag-policy)
+ [Proporcione permisos para etiquetar los recursos de SageMaker IA](#grant-tagging-permissions)
+ [Limitación del acceso a los recursos que permiten búsquedas con condiciones de visibilidad](#limit-access-to-searchable-resources)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear recursos de SageMaker IA de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS gestionadas y opte por los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS gestionadas* que conceden permisos en muchos casos de uso habituales. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de IA SageMaker
Para acceder a la consola Amazon SageMaker AI, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de SageMaker IA de su AWS cuenta. Si crea una política basada en identidades más restrictiva que los permisos mínimos requeridos, la consola no funcionará correctamente para las entidades con esa política. Esto incluye a los usuarios o roles con esa política.
Para garantizar que esas entidades puedan seguir utilizando la consola de SageMaker IA, también debes adjuntar la siguiente política AWS gestionada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/service-authorization/latest/reference/id_users_change-permissions.html#users_change_permissions-add-console) en *Referencia de autorizaciones de servicio*:
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
**Topics**
+ [Permisos necesarios para usar la consola Amazon SageMaker AI](#console-permissions)
+ [Se requieren permisos para usar la consola Amazon SageMaker Ground Truth](#groundtruth-console-policy)
+ [Permisos necesarios para usar la consola de Amazon Augmented AI (versión preliminar)](#amazon-augmented-ai-console-policy)
### Permisos necesarios para usar la consola Amazon SageMaker AI
La tabla de referencia de permisos enumera las operaciones de la API Amazon SageMaker AI y muestra los permisos necesarios para cada operación. Para obtener más información sobre las operaciones de la API de Amazon SageMaker AI, consulte[Permisos de la API de Amazon SageMaker AI: referencia sobre acciones, permisos y recursos](api-permissions-reference.md).
Para usar la consola Amazon SageMaker AI, debes conceder permisos para acciones adicionales. En concreto, la consola necesita permisos que permitan a las `ec2` acciones mostrar subredes y grupos de seguridad. VPCs Opcionalmente, la consola necesita permiso para crear *funciones de ejecución* para tareas como `CreateNotebook`, `CreateTrainingJob` y `CreateModel`. Conceda estos permisos con la siguiente política de permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "VpcConfigurationForCreateForms",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid":"KmsKeysForCreateForms",
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource":"*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListRepositories",
"codecommit:ListBranches",
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid":"ListAndCreateExecutionRoles",
"Effect":"Allow",
"Action":[
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource":"*"
},
{
"Sid": "DescribeECRMetaData",
"Effect": "Allow",
"Action": [
"ecr:Describe*"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
### Se requieren permisos para usar la consola Amazon SageMaker Ground Truth
Para usar la consola Amazon SageMaker Ground Truth, debes conceder permisos para recursos adicionales. En concreto, la consola necesita permisos para:
+ el AWS Marketplace para ver las suscripciones,
+ Operaciones de Amazon Cognito para administrar al personal privado
+ Acciones de Amazon S3 para acceder a sus archivos de entrada y salida
+ AWS Lambda acciones para enumerar e invocar funciones
Conceda estos permisos con la siguiente política de permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"groundtruthlabeling:DescribeConsoleJob",
"groundtruthlabeling:ListDatasetObjects",
"groundtruthlabeling:RunGenerateManifestByCrawlingJob",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
### Permisos necesarios para usar la consola de Amazon Augmented AI (versión preliminar)
Para utilizar la consola de Amazon Augmented AI debe conceder permisos para recursos adicionales. Conceda estos permisos con la siguiente política de permisos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*Algorithm",
"sagemaker:*Algorithms",
"sagemaker:*App",
"sagemaker:*Apps",
"sagemaker:*AutoMLJob",
"sagemaker:*AutoMLJobs",
"sagemaker:*CodeRepositories",
"sagemaker:*CodeRepository",
"sagemaker:*CompilationJob",
"sagemaker:*CompilationJobs",
"sagemaker:*Endpoint",
"sagemaker:*EndpointConfig",
"sagemaker:*EndpointConfigs",
"sagemaker:*EndpointWeightsAndCapacities",
"sagemaker:*Endpoints",
"sagemaker:*Experiment",
"sagemaker:*Experiments",
"sagemaker:*FlowDefinitions",
"sagemaker:*HumanLoop",
"sagemaker:*HumanLoops",
"sagemaker:*HumanTaskUi",
"sagemaker:*HumanTaskUis",
"sagemaker:*HyperParameterTuningJob",
"sagemaker:*HyperParameterTuningJobs",
"sagemaker:*LabelingJob",
"sagemaker:*LabelingJobs",
"sagemaker:*Metrics",
"sagemaker:*Model",
"sagemaker:*ModelPackage",
"sagemaker:*ModelPackages",
"sagemaker:*Models",
"sagemaker:*MonitoringExecutions",
"sagemaker:*MonitoringSchedule",
"sagemaker:*MonitoringSchedules",
"sagemaker:*NotebookInstance",
"sagemaker:*NotebookInstanceLifecycleConfig",
"sagemaker:*NotebookInstanceLifecycleConfigs",
"sagemaker:*NotebookInstanceUrl",
"sagemaker:*NotebookInstances",
"sagemaker:*ProcessingJob",
"sagemaker:*ProcessingJobs",
"sagemaker:*RenderUiTemplate",
"sagemaker:*Search",
"sagemaker:*SearchSuggestions",
"sagemaker:*Tags",
"sagemaker:*TrainingJob",
"sagemaker:*TrainingJobs",
"sagemaker:*TransformJob",
"sagemaker:*TransformJobs",
"sagemaker:*Trial",
"sagemaker:*TrialComponent",
"sagemaker:*TrialComponents",
"sagemaker:*Trials",
"sagemaker:*Workteam",
"sagemaker:*Workteams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sagemaker:*FlowDefinition"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListBranches",
"codecommit:ListRepositories",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob",
"glue:GetJobRun",
"glue:GetJobRuns",
"glue:GetJobs",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:PutLogEvents",
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:DescribeResourcePolicies",
"logs:GetLogDelivery",
"logs:ListLogDeliveries",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": "arn:aws:ecr:*:*:repository/*sagemaker*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
}
]
}
```
------
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la AWS CLI API o. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Controle la creación de recursos de SageMaker IA con claves de condición
Controle el acceso detallado para permitir la creación de recursos de SageMaker IA mediante claves de condición específicas de la SageMaker IA. Para obtener más información acerca de las claves de condición en las políticas de IAM, consulte [Elementos de política JSON de IAM: Condition](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
*Las claves de condición, las acciones de la API relacionadas y los enlaces a la documentación pertinente se enumeran en las [claves de condición de la SageMaker IA en la referencia de autorización](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) de servicios.*
Los siguientes ejemplos muestran cómo utilizar las claves condicionales de la SageMaker IA para controlar el acceso.
**Topics**
+ [Controle el acceso a los recursos de SageMaker IA mediante las claves de condición del sistema de archivos](#access-fs-condition-keys)
+ [Restricción del entrenamiento a una VPC específica](#sagemaker-condition-vpc)
+ [Restricción del acceso a tipos de personal para trabajos de etiquetado de Ground Truth y flujos de trabajo de revisión humana de Amazon A2I](#sagemaker-condition-keys-labeling)
+ [Aplicación del cifrado de datos de entrada](#sagemaker-condition-kms)
+ [Aplicación del aislamiento de red para trabajos de entrenamiento](#sagemaker-condition-isolation)
+ [Aplicación de un tipo de instancia específico para trabajos de entrenamiento](#sagemaker-condition-instance)
+ [Aplicación de la deshabilitación del acceso a Internet y el acceso raíz para crear instancias de cuadernos](#sagemaker-condition-nbi-lockdown)
### Controle el acceso a los recursos de SageMaker IA mediante las claves de condición del sistema de archivos
SageMaker El entrenamiento con IA proporciona una infraestructura segura para que se ejecute el algoritmo de entrenamiento, pero en algunos casos es posible que desees aumentar la defensa en profundidad. Por ejemplo, minimice el riesgo de ejecutar código que no sea de confianza en su algoritmo o disponga de mandatos de seguridad específicos en su organización. En estos escenarios, puede utilizar las claves de condición específicas del servicio en el elemento de condición de una política de IAM para limitar al usuario a:
+ sistemas de archivos específicos
+ directorios
+ modos de acceso (lectura-escritura, solo lectura)
+ grupos de seguridad
**Topics**
+ [Restricción de un usuario de IAM a directorios y modos de acceso específicos](#access-fs-condition-keys-ex-dirs)
+ [Restricción de un usuario a un sistema de archivos específico](#access-fs-condition-keys-ex-fs)
#### Restricción de un usuario de IAM a directorios y modos de acceso específicos
La siguiente política restringe a un usuario a los `/sagemaker/xgboost-dm/validation` directorios `/sagemaker/xgboost-dm/train` y de un sistema de archivos EFS a `ro` (solo lectura): AccessMode
**nota**
Cuando se permite un directorio, el algoritmo de capacitación también puede acceder a todos sus subdirectorios. Los permisos POSIX se omiten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToElasticFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/train"
}
}
},
{
"Sid": "AccessToElasticFileSystemValidation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/validation"
}
}
}
]
}
```
------
#### Restricción de un usuario a un sistema de archivos específico
Para evitar que un algoritmo malintencionado que utiliza un cliente del espacio de usuarios acceda a cualquier sistema de archivos directamente en su cuenta, puede restringir el tráfico de red. Para restringir este tráfico, permita la entrada únicamente desde un grupo de seguridad específico. En el siguiente ejemplo, el usuario de solo puede utilizar el grupo de seguridad especificado para acceder al sistema de archivos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToLustreFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "FSxLustre",
"sagemaker:FileSystemDirectoryPath": "/fsx/sagemaker/xgboost/train"
},
"ForAllValues:StringEquals": {
"sagemaker:VpcSecurityGroupIds": [
"sg-12345678"
]
}
}
}
]
}
```
------
En este ejemplo, se puede restringir un algoritmo a un sistema de archivos específico. Sin embargo, no se impide que un algoritmo acceda a cualquier directorio de ese sistema de archivos mediante el cliente del espacio de usuario. Para mitigar esto, puede:
+ Asegurarse de que el sistema de archivos solo contenga datos cuyo acceso confíe a los usuarios de
+ Crear un rol de IAM que restrinja a los usuarios a lanzar trabajos de entrenamiento con algoritmos de repositorios de ECR aprobados
[Para obtener más información sobre cómo utilizar las funciones con SageMaker IA, consulte SageMaker Funciones de IA.](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html)
### Restricción del entrenamiento a una VPC específica
Limite a un AWS usuario a crear trabajos de formación desde una Amazon VPC. Cuando se crea un trabajo de entrenamiento dentro de una VPC, puede utilizar los registros de flujo de VPC para supervisar todo el tráfico entrante y saliente del clúster de entrenamiento. Para obtener información sobre el uso de registros de flujo de VPC, consulte [Registros de flujo de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.
La siguiente política obliga a usuario a crear un trabajo de entrenamiento llamando a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) desde una VPC:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFromVpc",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"sagemaker:VpcSubnets": ["subnet-a1234"],
"sagemaker:VpcSecurityGroupIds": ["sg12345", "sg-67890"]
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
}
]
}
```
------
### Restricción del acceso a tipos de personal para trabajos de etiquetado de Ground Truth y flujos de trabajo de revisión humana de Amazon A2I
Los equipos de trabajo de Amazon SageMaker Ground Truth y Amazon Augmented AI se dividen en uno de los tres [tipos de personal](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management.html):
+ público (con Amazon Mechanical Turk)
+ privada
+ proveedor
Puede restringir el acceso del usuario a un equipo de trabajo específico utilizando uno de estos tipos o el ARN del equipo de trabajo. Para ello, utilice `sagemaker:WorkteamType` and/or las claves de `sagemaker:WorkteamArn` condición. Para la clave de condición `sagemaker:WorkteamType`, utilice [operadores de condición de cadena](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Para la clave de condición de `sagemaker:WorkteamArn`, utilice los [operadores de condición de Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN). Si el usuario intenta crear un trabajo de etiquetado con un equipo de trabajo restringido, SageMaker AI devuelve un error de acceso denegado.
Las siguientes políticas muestran diferentes formas de utilizar las claves de condición `sagemaker:WorkteamType` y `sagemaker:WorkteamArn` con operadores de condición apropiados y valores de condición válidos.
En el ejemplo siguiente se utiliza la clave de condición `sagemaker:WorkteamType` con el operador de condición `StringEquals` para restringir el acceso a un equipo de trabajo público. Acepta valores de condición en el siguiente formato:`workforcetype-crowd`, donde *workforcetype* puede ser igual a `public``private`, o`vendor`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:WorkteamType": "public-crowd"
}
}
}
]
}
```
------
Las siguientes políticas muestran cómo restringir el acceso a un equipo de trabajo público mediante la clave de condición `sagemaker:WorkteamArn`. La primera muestra cómo usarla con un regex-variant de IAM válido del ARN del equipo de trabajo y el operador de condición de `ArnLike`. El segundo muestra cómo usarla con el operador de condición `ArnEquals` y el ARN del equipo de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnLike": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
}
}
}
]
}
```
------
### Aplicación del cifrado de datos de entrada
La siguiente política restringe al usuario a especificar una AWS KMS clave para cifrar los datos de entrada mediante la clave de `sagemaker:VolumeKmsKey` condición al crear:
+ entrenamiento
+ ajuste de hiperparámetros
+ trabajos de etiquetado
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceEncryption",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateFlowDefinition"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:VolumeKmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
]
}
```
------
### Aplicación del aislamiento de red para trabajos de entrenamiento
La siguiente política restringe a un usuario a habilitar el aislamiento de redes al crear trabajos de entrenamiento mediante la clave de condición `sagemaker:NetworkIsolation`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceIsolation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"Bool": {
"sagemaker:NetworkIsolation": "true"
}
}
}
]
}
```
------
### Aplicación de un tipo de instancia específico para trabajos de entrenamiento
La siguiente política restringe a un usuario a utilizar un tipo de instancia específico al crear trabajos de entrenamiento mediante la clave de condición `sagemaker:InstanceTypes`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceInstanceType",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"sagemaker:InstanceTypes": ["ml.c5.*"]
}
}
}
]
}
```
------
### Aplicación de la deshabilitación del acceso a Internet y el acceso raíz para crear instancias de cuadernos
Puede deshabilitar tanto el acceso a Internet como el acceso raíz a las instancias de bloc de notas para que sean más seguras. Para obtener más información sobre el control del acceso a una instancia de cuaderno, consulte [Controle el acceso raíz a una instancia de notebook SageMaker](nbi-root-access.md). Para obtener más información acerca de cómo deshabilitar el acceso a Internet para una instancia de cuaderno, consulte [Conexión de una instancia de cuaderno en una VPC a recursos externos](appendix-notebook-and-internet-access.md).
La siguiente política requiere que un usuario deshabilite el acceso de red a la hora de crear una instancia y que deshabilite el acceso raíz a la hora de crear o actualizar una instancia de cuaderno.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LockDownCreateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:CreateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:DirectInternetAccess": "Disabled",
"sagemaker:RootAccess": "Disabled"
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
},
{
"Sid": "LockDownUpdateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:UpdateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:RootAccess": "Disabled"
}
}
}
]
}
```
------
## Controle el acceso a la API de SageMaker IA mediante políticas basadas en la identidad
Para controlar el acceso a las llamadas a la API de SageMaker IA y las llamadas a los puntos de conexión alojados en SageMaker IA, utilice políticas de IAM basadas en la identidad.
**Topics**
+ [Restrinja el acceso a la API de SageMaker IA y al tiempo de ejecución a las llamadas desde su VPC](#api-access-policy-vpc)
### Restrinja el acceso a la API de SageMaker IA y al tiempo de ejecución a las llamadas desde su VPC
Si configura un punto final de interfaz en su VPC, las personas ajenas a la VPC pueden conectarse a la API de SageMaker IA y al tiempo de ejecución a través de Internet. Para evitarlo, asocie una política de IAM que restrinja el acceso a las llamadas procedentes de la VPC. Estas llamadas deben estar restringidas a todos los usuarios y grupos que tengan acceso a sus recursos de SageMaker IA. Para obtener información sobre cómo crear un punto final de interfaz de VPC para la API de SageMaker IA y el tiempo de ejecución, consulte. [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md)
**importante**
Si aplicas una política de IAM similar a una de las siguientes, los usuarios no podrán acceder a la SageMaker IA especificada a APIs través de la consola.
Para restringir el acceso solo a las conexiones realizadas desde la VPC, cree una política de AWS Identity and Access Management que restrinja el acceso. Este acceso debe restringirse únicamente a las llamadas que provengan de su VPC. A continuación, añada esa política a cada AWS Identity and Access Management usuario, grupo o función que utilice para acceder a la API o al entorno de ejecución de la SageMaker IA.
**nota**
Esta política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de enlace de interfaz.
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Para restringir el acceso a la API únicamente a las llamadas realizadas mediante el punto de conexión de interfaz, utilice la clave de condición `aws:SourceVpce` en lugar de `aws:SourceVpc`:
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
## Limite el acceso a la API de SageMaker IA y a las llamadas en tiempo de ejecución por dirección IP
Puedes permitir el acceso a las llamadas a la API de SageMaker IA y a las invocaciones en tiempo de ejecución únicamente desde las direcciones IP de una lista que especifiques. Para ello, cree una política de IAM que deniegue el acceso a la API a menos que la llamada provenga de una dirección IP de la lista. A continuación, adjunta esa política a cada AWS Identity and Access Management usuario, grupo o función que utilices para acceder a la API o al entorno de ejecución. Para obtener información acerca de las políticas de IAM, consulte [Crear políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *AWS Identity and Access Management Guía del usuario de IAM*.
Para especificar la lista de direcciones IP que tienen acceso a la llamada a la API, utilice lo siguiente:
+ Operador de condición `IpAddress`
+ Clave de contexto de condición `aws:SourceIP`
Para obtener información acerca de los operadores de condición de IAM, consulte [Elementos de la política de JSON de IAM: operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) en la *Guía del usuario de AWS Identity and Access Management *. Para obtener más información sobre las claves de contexto de condición de IAM, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Por ejemplo, la siguiente política permite el acceso a la [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) solo desde direcciones IP en los intervalos `192.0.2.0`-`192.0.2.255` y `203.0.113.0`-`203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreateTrainingJob",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
## Límite del acceso a una instancia de cuaderno por dirección IP
Puede permitir el acceso a una instancia de cuaderno únicamente desde las direcciones IP de una lista que especifique. Para ello, cree una política de IAM que deniegue el acceso a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) a menos que la llamada provenga de una dirección IP de la lista. A continuación, asocie esta política a cada AWS Identity and Access Management usuario, grupo o rol utilizado para acceder a la instancia de Notebook. Para obtener información acerca de las políticas de IAM, consulte [Crear políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *AWS Identity and Access Management Guía del usuario de IAM*.
Para especificar la lista de direcciones IP que desea que tengan acceso a la instancia de cuaderno, utilice lo siguiente:
+ Operador de condición `IpAddress`
+ Clave de contexto de condición `aws:SourceIP`
Para obtener información acerca de los operadores de condición de IAM, consulte [Elementos de la política de JSON de IAM: operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) en la *Guía del usuario de AWS Identity and Access Management *. Para obtener más información sobre las claves de contexto de condición de IAM, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Por ejemplo, la siguiente política permite el acceso a una instancia de bloc de notas solo desde las direcciones IP en los intervalos `192.0.2.0` a `192.0.2.255` y `203.0.113.0` a `203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
La política restringe el acceso tanto a la llamada a `CreatePresignedNotebookInstanceUrl` como a la URL que la llamada devuelve. La política también restringe el acceso a abrir una instancia de bloc de notas en la consola. Se aplica a todas las solicitudes y WebSocket marcos HTTP que intenten conectarse a la instancia del bloc de notas.
**nota**
El uso de este método para filtrar por dirección IP no es compatible cuando se [conecta a la SageMaker IA a través de un punto final de la interfaz de VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html). . Para obtener más información acerca de cómo restringir el acceso a una instancia de bloc de notas cuando se conecta a través de un punto de enlace de interfaz VPC, consulte [Conexión a una instancia de bloc de notas a través de un punto de enlace de interfaz de VPC](notebook-interface-endpoint.md).
## Controle el acceso a los recursos de SageMaker IA mediante etiquetas
Especifique las etiquetas dentro de una política de IAM para controlar el acceso a los grupos de recursos de SageMaker IA. Utilice etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). El uso de etiquetas le ayuda a particionar el acceso a los recursos para grupos específicos de usuarios. Puede tener un equipo con acceso a un grupo de recursos y otro equipo con acceso a otro conjunto de recursos. Puede establecer condiciones `ResourceTag` en las políticas de IAM para proporcionar acceso a cada grupo.
**nota**
Las políticas basadas en etiquetas no funcionan para restringir las siguientes llamadas a la API:
DeleteImageVersion
DescribeImageVersion
ListAlgorithms
ListCodeRepositories
ListCompilationJobs
ListEndpointConfigs
ListEndpoints
ListFlowDefinitions
ListHumanTaskUis
ListHyperparameterTuningJobs
ListLabelingJobs
ListLabelingJobsForWorkteam
ListModelPackages
ListModels
ListNotebookInstanceLifecycleConfigs
ListNotebookInstances
ListSubscribedWorkteams
ListTags
ListProcessingJobs
ListTrainingJobs
ListTrainingJobsForHyperParameterTuningJob
ListTransformJobs
ListWorkteams
Search
Un ejemplo sencillo puede ayudarle a entender cómo puede utilizar las etiquetas para particionar los recursos. Supongamos que ha definido dos grupos de IAM diferentes, denominados `DevTeam1` y`DevTeam2`, en su AWS cuenta. También ha creado 10 instancias de cuaderno. Usa 5 de las instancias del cuaderno para un proyecto. Usa las otras 5 para un segundo proyecto. Puede proporcionar a `DevTeam1` permisos para realizar llamadas a la API en las instancias de cuaderno que utilice para el primer proyecto. Puede permitir a `DevTeam2` realizar llamadas a la API en las instancias de cuaderno utilizadas en el segundo proyecto.
El siguiente procedimiento proporciona un ejemplo sencillo que le ayuda a entender el concepto de agregar etiquetas. Puede usarlo para implementar la solución descrita en el párrafo anterior.
**Para controlar el acceso a llamadas a la API (ejemplo)**
1. Añada una etiqueta con la clave `Project` y el valor `A` a las instancias de bloc de notas usadas para el primer proyecto. Para obtener información sobre cómo añadir etiquetas a los recursos de SageMaker IA, consulte [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html).
1. Añada una etiqueta con la clave `Project` y el valor `B` a las instancias de bloc de notas usadas para el segundo proyecto.
1. Cree una política de IAM con una condición `ResourceTag` que deniegue el acceso a las instancias de cuaderno usadas para el segundo proyecto. A continuación, asocie esa política a `DevTeam1`. La siguiente política de ejemplo deniega todas las llamadas a la API en cualquier instancia de cuaderno con una etiqueta que tenga una clave de `Project` y un valor de `B`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "B"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
Para obtener información sobre la creación de políticas de IAM y cómo asociarlas a las identidades, consulte [Control del acceso mediante políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) en la *Guía de usuario de AWS Identity and Access Management *.
1. Cree una política de IAM con una condición `ResourceTag` que deniegue el acceso a las instancias de cuaderno usadas para el primer proyecto. A continuación, asocie esa política a `DevTeam2`. La siguiente política de ejemplo deniega todas las llamadas a la API en cualquier instancia de cuaderno con una etiqueta que tenga una clave de `Project` y un valor de `A`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "A"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
## Proporcione permisos para etiquetar los recursos de SageMaker IA
Las [etiquetas](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) son etiquetas de metadatos que puedes adjuntar a determinados AWS recursos. Una etiqueta consta de un par clave-valor que proporciona una forma flexible de anotar los recursos con atributos de metadatos para diversos [casos de uso de etiquetado](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html), entre los que se incluyen:
+ buscar
+ seguridad
+ [atribución de costos](https://docs.aws.amazon.com/whitepapers/latest/sagemaker-studio-admin-best-practices/cost-attribution.html)
+ control de acceso
+ Automation
Se pueden usar en permisos y políticas, cuotas de servicio e integraciones con otros AWS servicios. Las etiquetas pueden definirse por el usuario o AWS generarse al crear recursos. Esto depende de si el usuario especifica manualmente las etiquetas personalizadas o si un servicio de AWS genera una etiqueta automáticamente.
+ *Etiquetas definidas por el usuario* en SageMaker IA: los usuarios pueden añadir etiquetas cuando crean recursos de SageMaker IA mediante SageMaker SDKs la AWS CLI CLI SageMaker APIs, la consola de SageMaker IA o CloudFormation plantillas.
**nota**
Las etiquetas definidas por el usuario se pueden anular si un recurso se actualiza posteriormente y se cambia o reemplaza el valor de la etiqueta. Por ejemplo, un trabajo de entrenamiento creado con \$1Equipo: A\$1 podría actualizarse incorrectamente y volver a etiquetarse como \$1Equipo: B\$1. Como resultado, los permisos concedidos podrían asignarse de forma incorrecta. Por lo tanto, se debe tener cuidado al permitir que los usuarios o grupos añadan etiquetas, ya que es posible que puedan anular los valores de las etiquetas existentes. Se recomienda limitar estrictamente los permisos de las etiquetas y utilizar las condiciones de IAM para controlar las capacidades de etiquetado.
+ *AWS etiquetas generadas* en SageMaker IA: la SageMaker IA etiqueta automáticamente ciertos recursos que crea. Por ejemplo, Studio y Studio Classic asignan automáticamente la `sagemaker:domain-arn` etiqueta a los recursos de SageMaker IA que crean. El etiquetado de nuevos recursos con el dominio ARN proporciona trazabilidad sobre SageMaker cómo se originan los recursos de IA, como los trabajos de formación, los modelos y los puntos finales. Para realizar un control y un seguimiento más precisos, los nuevos recursos reciben etiquetas adicionales, como las siguientes:
+ `sagemaker:user-profile-arn`: el ARN del perfil de usuario que creó el recurso. Esto permite realizar un seguimiento de los recursos creados por usuarios específicos.
+ `sagemaker:space-arn`: el ARN del espacio en el que se creó el recurso. Esto permite agrupar y aislar los recursos por espacio.
**nota**
AWS Los usuarios no pueden cambiar las etiquetas generadas.
Para obtener información general sobre el etiquetado de AWS los recursos y las prácticas recomendadas, consulte [Etiquetar AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) los recursos. Para obtener más información sobre los principales casos de uso del etiquetado, consulte [Etiquetado de casos de uso](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html).
### Conceda permiso para añadir etiquetas al crear SageMaker recursos de IA
Puedes permitir que los usuarios (*etiquetas definidas por el usuario*) o Studio y Studio Classic (*etiquetas AWS generadas) añadan etiquetas* a los nuevos recursos de SageMaker IA en el momento de crearlos. Para ello, sus permisos de IAM deben incluir lo siguiente:
+ El permiso de creación de SageMaker IA base para ese tipo de recurso.
+ El permiso `sagemaker:AddTags`.
Por ejemplo, permitir que un usuario cree un trabajo de SageMaker formación y lo etiquete requeriría conceder permisos para `sagemaker:CreateTrainingJob` y`sagemaker:AddTags`.
**importante**
Las políticas de IAM personalizadas que permiten a Amazon SageMaker Studio o Amazon SageMaker Studio Classic crear recursos de Amazon SageMaker AI también deben conceder permisos para añadir etiquetas a esos recursos. El permiso para añadir etiquetas a los recursos es necesario porque Studio y Studio Classic etiquetan automáticamente todos los recursos que crean. Si una política de IAM permite a Studio y Studio Classic crear recursos, pero no permite el etiquetado, se pueden producir errores de tipo AccessDenied «» al intentar crear recursos.
[AWS políticas gestionadas para Amazon SageMaker AI](security-iam-awsmanpol.md)que otorgan permisos para crear recursos de SageMaker IA ya incluyen permisos para añadir etiquetas al crear esos recursos.
Los administradores asocian estos permisos de IAM a una de las siguientes opciones:
+ AWS Funciones de IAM asignadas al usuario para las etiquetas definidas por el usuario
+ El rol de ejecución que utiliza Studio o Studio Classic para las etiquetas generadas por AWS
Para obtener instrucciones sobre cómo crear y aplicar políticas de IAM personalizadas, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
**nota**
La lista de operaciones de creación de recursos de SageMaker IA se encuentra en la [documentación de la SageMaker API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations_Amazon_SageMaker_Service.html) buscando acciones que comiencen por. `Create` Estas crean acciones, como `CreateTrainingJob` y`CreateEndpoint`, son las operaciones que crean nuevos recursos de SageMaker IA.
**Adición de permisos de etiquetas a determinadas acciones de creación**
Para conceder el permiso `sagemaker:AddTags` con restricciones, debe asociar una política de IAM adicional a la política de creación de recursos original. El siguiente ejemplo de política permite`sagemaker:AddTags`, pero lo restringe, solo a determinadas acciones de creación de recursos de SageMaker IA, como`CreateTrainingJob`.
```
{
"Sid": "AllowAddTagsForCreateOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateTrainingJob"
}
}
}
```
La condición de la política limita `sagemaker:AddTags` para que se use únicamente con acciones de creación específicas. En este enfoque, la política de permisos de creación permanece intacta, mientras que una política adicional proporciona un acceso `sagemaker:AddTags` restringido. La condición impide el permiso general `sagemaker:AddTags` al limitarlo a las acciones de creación que hay que etiquetar. Esto implementa el privilegio mínimo al permitirlo solo para `sagemaker:AddTags` casos de uso específicos de creación de recursos de SageMaker IA.
**Ejemplo: concesión del permiso de etiquetas de manera global y restricción de las acciones de creación a un dominio**
En este ejemplo de política de IAM personalizada, las dos primeras instrucciones ilustran el uso de etiquetas para realizar un seguimiento de la creación de recursos. Permite la acción `sagemaker:CreateModel` en todos los recursos y el etiquetado de esos recursos cuando se utiliza esa acción. La tercera instrucción demuestra cómo se pueden utilizar los valores de las etiquetas para controlar las operaciones en los recursos. En este caso, impide la creación de recursos de SageMaker IA etiquetados con un ARN de dominio específico, lo que restringe el acceso en función del valor de la etiqueta.
En particular:
+ La primera instrucción permite la acción `CreateModel` en cualquier recurso (`*`).
+ La segunda instrucción permite la acción `sagemaker:AddTags`, pero solo cuando la clave de condición `sagemaker:TaggingAction` es igual a `CreateModel`. Esto restringe la acción `sagemaker:AddTags` a solo cuando se utiliza para etiquetar un modelo recién creado.
+ La tercera afirmación niega cualquier acción de creación de SageMaker IA (`Create*`) en cualquier recurso (`*`), pero solo cuando el recurso tiene una etiqueta `sagemaker:domain-arn` igual a un ARN de dominio específico,. `domain-arn`
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"sagemaker:CreateModel"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":"*",
"Condition":{
"String":{
"sagemaker:TaggingAction":[
"CreateModel"
]
}
}
},
{
"Sid":"IsolateDomain",
"Effect":"Deny",
"Resource":"*",
"Action":[
"sagemaker:Create*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:domain-arn":"domain-arn"
}
}
}
]
}
```
## Limitación del acceso a los recursos que permiten búsquedas con condiciones de visibilidad
Usa las condiciones de visibilidad para limitar el acceso de tus usuarios a recursos etiquetados específicos dentro de una AWS cuenta. Sus usuarios solo pueden acceder a los recursos para los que tienen permisos. Cuando los usuarios buscan en sus recursos, pueden limitar los resultados de la búsqueda a recursos específicos.
Es posible que desee que sus usuarios solo vean e interactúen con los recursos asociados a dominios específicos de Amazon SageMaker SageMaker Studio o Amazon Studio Classic. Puede utilizar las condiciones de visibilidad para limitar su acceso a uno o varios dominios.
```
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Región de AWS:111122223333:domain/example-domain-1",
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Región de AWS:111122223333:domain/example-domain-2"
}
}
}
```
El formato general de una condición de visibilidad es `"sagemaker:SearchVisibilityCondition/Tags.key": "value"`. Puede proporcionar el par clave-valor para cualquier recurso etiquetado.
```
{
"MaxResults": number,
"NextToken": "string",
"Resource": "string", # Required Parameter
"SearchExpression": {
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedFilters": [
{
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedPropertyName": "string"
}
],
"Operator": "string",
"SubExpressions": [
"SearchExpression"
]
},
"IsCrossAccount": "string",
"VisibilityConditions" : [ List of conditions for visibility
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Región de AWS:111122223333:domain/example-domain-1"},
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Región de AWS:111122223333:domain/example-domain-2"}
]
],
"SortBy": "string",
"SortOrder": "string"
}
```
La condición de visibilidad interna utiliza el mismo formato de `"sagemaker:SearchVisibilityCondition/Tags.key": "value"` especificado en la política. Los usuarios pueden especificar los pares clave-valor que se utilizan para cualquier recurso etiquetado.
Si un usuario incluye el parámetro `VisibilityConditions` en su solicitud de [búsqueda](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html), pero la política de acceso que se aplica a ese usuario no contiene ninguna de clave de condición que coincida con lo que se ha especificado en `VisibilityConditions`, la solicitud `Search` seguirá estando permitida y se ejecutará.
Si no se especifica un parámetro `VisibilityConditions` en la solicitud de la API de [búsqueda](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) del usuario, pero la política de acceso que se aplica a ese usuario contiene las claves de condición relacionadas con `VisibilityConditions`, se deniega la solicitud `Search` de ese usuario.
# Prevención de la sustitución confusa entre servicios
El [problema de la sustitución confusa](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, el confuso problema de un diputado puede surgir debido a la suplantación de identidad entre servicios. La suplantación entre servicios se puede producir cuando un servicio (el *servicio que llama*) invoca a otro servicio (el *servicio llamado*) y aprovecha los permisos mejorados del servicio llamado para realizar acciones en recursos a los que el servicio que llama no tiene autorización para acceder. Para evitar el acceso no autorizado debido al confuso problema de los diputados, AWS proporciona herramientas que ayudan a proteger sus datos en todos los servicios. Estas herramientas le ayudan a controlar los permisos que se conceden a las entidades principales del servicio y limitan su acceso únicamente a los recursos de su cuenta que son necesarios. Si administra cuidadosamente los privilegios de acceso de las entidades principales de servicio, puede ayudar a mitigar el riesgo de que los servicios accedan de forma indebida a datos o recursos para los que no deberían tener permisos.
Siga leyendo para obtener una guía general o busque un ejemplo de una función de SageMaker IA específica:
**Topics**
+ [Límite de permisos con claves de condición globales](#security-confused-deputy-context-keys)
+ [SageMaker Edge Manager](#security-confused-deputy-edge-manager)
+ [SageMaker Imágenes](#security-confused-deputy-images)
+ [SageMaker Inferencia de IA](#security-confused-deputy-inference)
+ [SageMaker Trabajos de transformación por lotes de IA](#security-confused-deputy-batch)
+ [SageMaker Marketplace de IA](#security-confused-deputy-marketplace)
+ [SageMaker ¿Neo](#security-confused-deputy-neo)
+ [SageMaker Tuberías](#security-confused-deputy-pipelines)
+ [SageMaker Trabajos de procesamiento](#security-confused-deputy-processing-job)
+ [SageMaker Estudio](#security-confused-deputy-studio)
+ [SageMaker Trabajos de formación](#security-confused-deputy-training-job)
## Límite de permisos con claves de condición globales
Recomendamos utilizar las claves de condición `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` global `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` y las claves de condición globales en las políticas de recursos para limitar los permisos al recurso que Amazon SageMaker AI concede a otro servicio. Si utiliza claves de contexto de condición globales y el valor de `aws:SourceArn` contiene el ID de la cuenta, el valor de `aws:SourceAccount` y la cuenta en el valor de `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utiliza en la misma instrucción de política. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios. Utiliza `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.
La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utilice la clave de condición global `aws:SourceArn` con comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:sagemaker:*:123456789012:*`.
En el siguiente ejemplo, se muestra cómo utilizar las claves de condición `aws:SourceArn` y las claves de condición `aws:SourceAccount` globales de la SageMaker IA para evitar el confuso problema de los diputados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sagemaker:StartSession",
"Resource": "arn:aws:sagemaker:us-east-1:123456789012:ResourceName/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
## SageMaker Edge Manager
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar el confuso problema de suplentes entre servicios *123456789012* en SageMaker Edge Manager creado por el número de cuenta de la *us-west-2* región.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Puede reemplazar el `aws:SourceArn` de esta plantilla por el ARN completo de un trabajo de empaquetado específico para limitar aún más los permisos.
## SageMaker Imágenes
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar que el problema de las [SageMaker imágenes](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html) sea confuso y confuso entre servicios. Utilice esta plantilla con `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` o `[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. En este ejemplo, se utiliza un ARN de `ImageVersion` registro con el número de cuenta. *123456789012* Tenga en cuenta que, dado que el número de cuenta forma parte del valor `aws:SourceArn`, no necesita especificar ningún valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-2:123456789012:image-version/*"
}
}
}
}
```
------
No sustituya el `aws:SourceArn` de esta plantilla por el ARN completo de una imagen o versión de imagen específica. El ARN debe estar en el formato indicado anteriormente y especificar una `image` o `image-version`. El `partition` marcador de posición debe designar una partición AWS comercial (`aws`) o una partición AWS en China (`aws-cn`), según el lugar en el que se ejecute la imagen o la versión de la imagen. Del mismo modo, el `region` marcador de posición del ARN puede ser [cualquier región válida](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) en la que SageMaker haya imágenes disponibles.
## SageMaker Inferencia de IA
[En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar el problema de los intermediarios confusos entre servicios a la hora de realizar inferencias SageMaker [asíncronas, en tiempo real](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints) y [sin servidor](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints).](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) Tenga en cuenta que, dado que el número de cuenta forma parte del valor `aws:SourceArn`, no necesita especificar ningún valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
No sustituya el `aws:SourceArn` de esta plantilla por el ARN completo de un modelo o punto de conexión específico. El ARN debe estar en el formato indicado anteriormente. El asterisco de la plantilla de ARN no significa comodín y no debe cambiarse.
## SageMaker Trabajos de transformación por lotes de IA
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar el confuso problema de los [trabajos de transformación por lotes](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) de SageMaker IA creados por número de cuenta *123456789012* en la *us-west-2* región. Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*"
}
}
}
]
}
```
------
Puede reemplazar el `aws:SourceArn` de esta plantilla por el ARN completo de un trabajo de transformación por lotes específico para limitar aún más los permisos.
## SageMaker Marketplace de IA
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar el problema de los diputados confusos entre servicios para los recursos de SageMaker AI Marketplace creados por el número de cuenta *123456789012* en la *us-west-2* región. Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
No sustituya el `aws:SourceArn` de esta plantilla por el ARN completo de un paquete específico de algoritmos o modelos. El ARN debe estar en el formato indicado anteriormente. El asterisco de la plantilla ARN significa comodín y abarca todos los trabajos de formación, los modelos y los trabajos de transformación por lotes a partir de las etapas de validación, así como los paquetes de algoritmos y modelos publicados en AI Marketplace. SageMaker
## SageMaker ¿Neo
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar el confuso problema de suplentes entre servicios en los trabajos de compilación de SageMaker Neo creados por número de cuenta *123456789012* en la *us-west-2* región. Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*"
}
}
}
]
}
```
------
Puede reemplazar el `aws:SourceArn` de esta plantilla por el ARN completo de un trabajo de compilación específico para limitar aún más los permisos.
## SageMaker Tuberías
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar que las tuberías que utilizan registros de ejecución de canalizaciones de una o más [SageMaker canalizaciones](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) se vuelvan confusas y confusas entre servicios. Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:pipeline/mypipeline/*"
}
}
}
]
}
```
------
No sustituya el `aws:SourceArn` de esta plantilla por el ARN completo de una ejecución de canalización específica. El ARN debe estar en el formato indicado anteriormente. El `partition` marcador de posición debe designar una partición AWS comercial (`aws`) o una partición AWS en China (`aws-cn`), según el lugar en el que se encuentre el oleoducto. Del mismo modo, el `region` marcador de posición del ARN puede ser [cualquier región válida](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) en la que Pipelines esté SageMaker disponible.
El asterisco de la plantilla de ARN significa comodín y abarca todas las ejecuciones de canalización de una canalización denominada `mypipeline`. Si quieres conceder permisos `AssumeRole` para todas las canalizaciones de la cuenta `123456789012` en lugar de para una canalización específica, entonces el `aws:SourceArn` sería `arn:aws:sagemaker:*:123456789012:pipeline/*`.
## SageMaker Trabajos de procesamiento
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar el confuso problema de subcontratación entre servicios al SageMaker procesar los trabajos creados por número de cuenta *123456789012* en la *us-west-2* región. Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*"
}
}
}
]
}
```
------
Puede reemplazar el `aws:SourceArn` de esta plantilla por el ARN completo de un trabajo de procesamiento específico para limitar aún más los permisos.
## SageMaker Estudio
En el siguiente ejemplo, se muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar el confuso problema de suplentes entre servicios de SageMaker Studio creado por el número de cuenta *123456789012* de la *us-west-2* región. Tenga en cuenta que, dado que el número de cuenta forma parte del valor `aws:SourceArn`, no necesita especificar ningún valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
No sustituya el `aws:SourceArn` de esta plantilla por el ARN completo de una aplicación, perfil de usuario o dominio específicos de Studio. El ARN debe estar en el formato proporcionado en el ejemplo anterior. El asterisco de la plantilla de ARN no significa comodín y no debe cambiarse.
## SageMaker Trabajos de formación
El siguiente ejemplo muestra cómo se puede utilizar la clave de condición `aws:SourceArn` global para evitar el confuso problema de los diputados entre servicios en el caso de los puestos de SageMaker formación creados por el número de cuenta *123456789012* en la *us-west-2* región. Tenga en cuenta que, dado que el número de cuenta está en el ARN, no necesita especificar un valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*"
}
}
}
]
}
```
------
Puede reemplazar el `aws:SourceArn` de esta plantilla por el ARN completo de un trabajo de entrenamiento específico para limitar aún más los permisos.
**Tema siguiente**
Para obtener más información sobre la gestión de las funciones de ejecución, consulte [Funciones de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).
# Cómo utilizar las funciones de ejecución de la SageMaker IA
Amazon SageMaker AI realiza operaciones en tu nombre mediante otros AWS servicios. Debe conceder permisos a la SageMaker IA para utilizar estos servicios y los recursos sobre los que actúan. Estos permisos se conceden a la SageMaker IA mediante una función de ejecución AWS Identity and Access Management (IAM). Para obtener más información acerca de los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Para crear y usar un rol de ejecución, puede utilizar los siguientes procedimientos.
## Creación de un rol de ejecución
Utilice el siguiente procedimiento para crear un rol de ejecución con la política administrada por IAM, `AmazonSageMakerFullAccess`, asociada. Si su caso de uso requiere permisos más detallados, utilice otras secciones de esta página para crear un rol de ejecución que se adapte a las necesidades de su empresa. Puede crear un rol de ejecución mediante la consola de SageMaker IA o la AWS CLI.
**importante**
La política administrada por IAM, `AmazonSageMakerFullAccess`, utilizada en el siguiente procedimiento, solo concede permiso al rol de ejecución para realizar determinadas acciones de Amazon S3 en buckets u objetos con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` en el nombre. Para obtener información sobre cómo agregar una política adicional al rol de ejecución para concederle acceso a otros buckets y objetos de Amazon S3, consulte [Añadir permisos adicionales de Amazon S3 a una función de ejecución de SageMaker IA](#sagemaker-roles-get-execution-role-s3).
**nota**
Puede crear un rol de ejecución directamente al crear un dominio de SageMaker IA o una instancia de bloc de notas.
Para obtener información sobre cómo crear un dominio de SageMaker IA, consulte[Guía para empezar a usar Amazon SageMaker AI](gs.md).
Para obtener información sobre cómo crear una instancia de cuaderno, consulte [Crear una instancia de Amazon SageMaker Notebook para el tutorial](gs-setup-working-env.md).
**Para crear un nuevo rol de ejecución desde la consola de SageMaker IA**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Elija **Roles (Roles)** y, después, seleccione**Create Role (Crear rol)**.
1. Mantenga el **AWS servicio** como el **tipo de entidad de confianza** y, a continuación, utilice la flecha hacia abajo para buscar la **SageMaker IA** en **los casos de uso de otros AWS servicios**.
1. Selecciona **SageMaker AI — Execution** y, a continuación, selecciona **Siguiente**.
1. La política administrada por IAM, `AmazonSageMakerFullAccess`, se asocia automáticamente al rol. Para ver los permisos incluidos en esta política, elija el signo más (**\$1**) situado junto al nombre de la política. Elija **Siguiente**.
1. Ingrese un **Nombre del rol** y una **Descripción**.
1. De forma opcional, puede agregar permisos y etiquetas adicionales al rol.
1. Elija **Crear rol**.
1. En la sección **Roles** de la consola de IAM, busque el rol que acaba de crear. Si es necesario, utilice el cuadro de texto para buscar el rol por su nombre.
1. En la página de resumen del rol, tome nota del ARN del rol.
**Para crear un nuevo rol de ejecución desde la AWS CLI**
Antes de crear un rol de ejecución mediante el AWS CLI, asegúrese de actualizarlo y configurarlo siguiendo las instrucciones que se indican en y, a continuación[(Opcional) Configure el AWS CLI](gs-set-up.md#gs-cli-prereq), continúe con las instrucciones que aparecen en[Configuración personalizada mediante el AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Una vez que haya creado un rol de ejecución, podrá asociarlo a un dominio de SageMaker IA, a un perfil de usuario o a una instancia de Jupyter Notebook.
+ Para obtener información sobre cómo asociar una función de ejecución a un dominio de SageMaker IA existente, consulte. [Edición de la configuración del dominio](domain-edit.md)
+ Para obtener información sobre cómo asociar un rol de ejecución a un perfil de usuario existente, consulte [Adición de perfiles de usuario](domain-user-profile-add.md).
+ Para obtener información sobre cómo asociar un rol de ejecución a una instancia de cuaderno existente, consulte [Actualización de una instancia de cuaderno.](nbi-update.md).
También puede pasar el ARN de un rol de ejecución a su llamada a la API. Por ejemplo, con el [SDK de Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable), puede pasar el ARN de su función de ejecución a un estimador. En el ejemplo de código que sigue, creamos un estimador utilizando el contenedor de XGBoost algoritmos y pasamos el ARN del rol de ejecución como parámetro. Para ver el ejemplo completo GitHub, consulte Predicción de [abandono de clientes con](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb). XGBoost
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Añadir permisos adicionales de Amazon S3 a una función de ejecución de SageMaker IA
Cuando utiliza una función de SageMaker IA con recursos de Amazon S3, como datos de entrada, la función de ejecución que especifique en la solicitud (por ejemplo`CreateTrainingJob`) se utiliza para acceder a estos recursos.
Si asocia la política administrada por IAM, `AmazonSageMakerFullAccess`, a un rol de ejecución, solo concede permiso al rol para que realice determinadas acciones de Amazon S3 en buckets u objetos con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` en el nombre. También tiene permiso para realizar las siguientes acciones en cualquier recurso de Amazon S3:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Para conceder permisos a un rol de ejecución para acceder a uno o más buckets específicos en Amazon S3, puede asociar al rol una política similar a la siguiente. Esta política otorga a un rol de IAM permiso para realizar todas las acciones que permite `AmazonSageMakerFullAccess`, pero restringe este acceso a los buckets amzn-s3-demo-bucket1 y amzn-s3-demo-bucket2. Consulte la documentación de seguridad de la función de SageMaker IA específica que esté utilizando para obtener más información sobre los permisos de Amazon S3 necesarios para esa función.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
------
## Obtención del rol de ejecución
Puede utilizar la [consola de SageMaker IA](https://console.aws.amazon.com/sagemaker), el [SDK de Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable) o el [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)para recuperar el ARN y el nombre de la función de ejecución asociada a un dominio, espacio o perfil de usuario de SageMaker IA.
**Topics**
+ [Obtención del rol de ejecución del dominio](#sagemaker-roles-get-execution-role-domain)
+ [Obtención del rol de ejecución del espacio](#sagemaker-roles-get-execution-role-space)
+ [Obtención del rol de ejecución del usuario](#sagemaker-roles-get-execution-role-user)
### Obtención del rol de ejecución del dominio
A continuación, se proporcionan instrucciones para encontrar el rol de ejecución del dominio.
#### Obtención del rol de ejecución del dominio (consola)
**Búsqueda del rol de ejecución asociado a su dominio**
1. Abra la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Elija la pestaña **Configuración del dominio**.
1. En la sección **Configuración general**, el ARN del rol de ejecución aparece en **Rol de ejecución**.
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
### Obtención del rol de ejecución del espacio
A continuación, se proporcionan instrucciones para encontrar el rol de ejecución de su espacio.
#### Obtención del rol de ejecución del espacio (consola)
**Búsqueda del rol de ejecución asociado a su espacio**
1. Abre la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Seleccione la pestaña **Administración del espacio**.
1. En la sección **Detalles**, el ARN del rol de ejecución aparece en **Rol de ejecución**.
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
#### Obtención del rol de ejecución del espacio (SDK para Python)
**nota**
El siguiente código está diseñado para ejecutarse en un entorno de SageMaker IA, como cualquiera de los IDEs de Amazon SageMaker Studio. Recibirás un error si corres `get_execution_role` fuera de un entorno de SageMaker IA.
El siguiente comando del [SDK de [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable) recupera el ARN de la función de ejecución asociada al espacio.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
### Obtención del rol de ejecución del usuario
A continuación, se proporcionan instrucciones para encontrar el rol de ejecución de un usuario.
#### Obtención del rol de ejecución del usuario (consola)
**Búsqueda del rol de ejecución asociado a un usuario**
1. Abra la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Seleccione la pestaña **Perfiles de usuario**.
1. Elija el enlace correspondiente a su usuario.
1. En la sección **Detalles**, el ARN del rol de ejecución aparece en **Rol de ejecución**.
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
#### Obtención del rol de ejecución del espacio (AWS CLI)
**nota**
Para usar los siguientes ejemplos, debe tener el AWS Command Line Interface (AWS CLI) instalado y configurado. Para obtener más información, consulte [Get started with the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) en la *Guía del usuario de la versión 2 de AWS Command Line Interface *.
El siguiente comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI muestra información sobre la identidad de IAM utilizada para autenticar la solicitud. La persona que llama es un usuario de IAM.
```
aws sts get-caller-identity
```
El nombre del rol de ejecución se encuentra después del último `/` en el nombre del ARN del rol de ejecución.
## Cambio del rol de ejecución
Una función de ejecución es una función de IAM que asume una identidad de SageMaker IA (como un usuario, un espacio o un dominio de SageMaker IA). Al cambiar el rol de IAM, se cambian los permisos de todas las identidades que asumen ese rol.
Al cambiar un rol de ejecución, también cambiará el rol de ejecución del espacio correspondiente. Los efectos del cambio pueden tardar algún tiempo en propagarse.
+ Al cambiar el *rol de ejecución de un usuario*, los *espacios privados* creados por ese usuario asumirán el rol de ejecución cambiado.
+ Al cambiar el *rol de ejecución predeterminada de un espacio*, los *espacios compartidos* del dominio asumirán el rol de ejecución cambiado.
Para obtener más información acerca de los espacios y roles de ejecución, consulte [Descripción de los permisos y roles de ejecución de espacio de dominio](execution-roles-and-spaces.md).
Puede cambiar el rol de ejecución de una identidad por un rol de IAM diferente. Para ello, siga una de estas instrucciones.
Si, por el contrario, desea *modificar* un rol que asume una identidad, consulte [Modificación de los permisos del rol de ejecución](#sagemaker-roles-modify-to-execution-role).
**Topics**
+ [Cambio del rol de ejecución predeterminado del dominio](#sagemaker-roles-change-execution-role-domain)
+ [Cambio del rol de ejecución predeterminado del espacio](#sagemaker-roles-change-execution-role-space)
+ [Cambio del rol de ejecución del perfil de usuario](#sagemaker-roles-change-execution-role-user)
### Cambio del rol de ejecución predeterminado del dominio
A continuación, se proporcionan instrucciones sobre cómo cambiar el rol de ejecución predeterminado del dominio.
#### Cambio del rol de ejecución predeterminado del dominio (consola)
**Cambio del rol de ejecución predeterminado asociado a su dominio**
1. Abre la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Elija la pestaña **Configuración del dominio**.
1. En la sección **Configuración general**, seleccione **Editar**.
1. En la sección **Permisos**, en **Rol de ejecución predeterminado**, expanda la lista desplegable.
1. En la lista desplegable, puede elegir un rol actual, introducir un ARN de rol de IAM personalizado o crear un rol nuevo.
Si desea crear un rol nuevo, puede elegir **Crear un rol con el asistente de creación de roles**.
1. Elija Siguiente en los siguientes pasos y elija Enviar en el último paso.
### Cambio del rol de ejecución predeterminado del espacio
A continuación, se proporcionan instrucciones sobre cómo cambiar el rol de ejecución predeterminado del espacio. Al cambiar este rol de ejecución, se cambiará el rol que asumen todos los espacios compartidos del dominio.
#### Cambio del rol de ejecución predeterminado del espacio (consola)
**Cambio del rol de ejecución predeterminado del espacio cuando se crea un espacio nuevo**
1. Abre la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Elija la pestaña **Configuración del dominio**.
1. En la sección **Configuración general**, seleccione **Editar**.
1. En la sección **Permisos**, en **Rol de ejecución predeterminado del espacio**, expanda la lista desplegable.
1. En la lista desplegable, puede elegir un rol actual, introducir un ARN de rol de IAM personalizado o crear un rol nuevo.
Si desea crear un rol nuevo, puede elegir **Crear un rol con el asistente de creación de roles**.
1. Elija **Siguiente** en los siguientes pasos y elija **Enviar** en el último paso.
### Cambio del rol de ejecución del perfil de usuario
A continuación, se proporcionan instrucciones para cambiar el rol de ejecución de un usuario. Al cambiar este rol de ejecución, se cambiará el rol que asumen todos los espacios privados creados por este usuario.
#### Cambio del rol de ejecución del perfil de usuario (consola)
**Cambio del rol de ejecución asociado a un usuario**
1. Abre la consola de SageMaker IA, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. En el panel de navegación izquierdo, seleccione **Dominios** en **Configuraciones de administración**.
1. Elija el enlace correspondiente a su dominio.
1. Seleccione la pestaña **Perfiles de usuario**.
1. Elija el enlace correspondiente al nombre del perfil de usuario.
1. Elija **Edit (Edición de)**.
1. En la lista desplegable, puede elegir un rol actual, introducir un ARN de rol de IAM personalizado o crear un rol nuevo.
Si desea crear un rol nuevo, puede elegir **Crear un rol con el asistente de creación de roles**.
1. Elija **Siguiente** en los siguientes pasos y elija **Enviar** en el último paso.
## Modificación de los permisos del rol de ejecución
Puede modificar los permisos existentes para asignar la función de ejecución de una identidad (como un usuario, un espacio o un dominio de SageMaker IA). Para ello, busque el rol de IAM adecuado que asume la identidad y, a continuación, modifique ese rol de IAM. A continuación, se proporcionan instrucciones para hacer esto a través de la consola.
Al modificar un rol de ejecución, el rol de ejecución del espacio correspondiente también cambiará. Es posible que los efectos del cambio no sean inmediatos.
+ Al modificar el *rol de ejecución de un usuario*, los *espacios privados* creados por ese usuario asumirán el rol de ejecución modificado.
+ Al modificar el *rol de ejecución predeterminado de un espacio*, los *espacios compartidos* del dominio asumirán el rol de ejecución modificado.
Para obtener más información acerca de los espacios y roles de ejecución, consulte [Descripción de los permisos y roles de ejecución de espacio de dominio](execution-roles-and-spaces.md).
Si, por el contrario, desea *cambiar* un rol que asume una identidad, consulte [Cambio del rol de ejecución](#sagemaker-roles-change-execution-role).
### Modificación de los permisos del rol de ejecución (consola)
**Modificación de los permisos de sus roles de ejecución**
1. Primero obtenga el nombre de la identidad que desea modificar.
+ [Obtención del rol de ejecución del dominio](#sagemaker-roles-get-execution-role-domain)
+ [Obtención del rol de ejecución del espacio](#sagemaker-roles-get-execution-role-space)
+ [Obtención del rol de ejecución del usuario](#sagemaker-roles-get-execution-role-user)
1. Para modificar el rol que asume una identidad, consulte [Modificación de un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) en la *Guía del usuario de AWS Identity and Access Management *.
Para obtener más información e instrucciones sobre cómo añadir permisos a identidades de IAM, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *AWS Identity and Access Management Guía del usuario de IAM*.
## Transferencia de roles
Acciones como transferir un rol entre servicios son una función común en la SageMaker IA. Encontrarás más información sobre [las acciones, los recursos y las claves de condición de la SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) en la *Referencia de autorización de servicios*.
El rol (`iam:PassRole`) se pasa al realizar estas llamadas a la API: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) y [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Debe adjuntar la siguiente política de confianza a la función de IAM, que otorga a la SageMaker IA los permisos principales para asumir la función, y es la misma para todas las funciones de ejecución:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Los permisos que tiene que conceder al rol varían según la API a la que llame. Las siguientes secciones explican estos permisos.
**nota**
En lugar de gestionar los permisos mediante la elaboración de una política de permisos, puedes utilizar la política de permisos AWS gestionados`AmazonSageMakerFullAccess`. Los permisos de esta política son bastante amplios para permitir cualquier acción que desees realizar en SageMaker IA. Para ver un listado de la política, incluida información acerca de los motivos para añadir muchos de los permisos, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Si prefiere crear políticas personalizadas y administrar permisos para delimitarlos solo a las acciones que es necesario realizar con el rol de ejecución, consulte los siguientes temas.
**importante**
Si tiene problemas, consulte [Solución de problemas de Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md).
Para obtener más información sobre los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) en *Referencia de autorizaciones de servicio*.
**Topics**
+ [Creación de un rol de ejecución](#sagemaker-roles-create-execution-role)
+ [Obtención del rol de ejecución](#sagemaker-roles-get-execution-role)
+ [Cambio del rol de ejecución](#sagemaker-roles-change-execution-role)
+ [Modificación de los permisos del rol de ejecución](#sagemaker-roles-modify-to-execution-role)
+ [Transferencia de roles](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob y API CreateAuto MLJob V2: permisos de rol de ejecución](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: permisos de rol de ejecución](#sagemaker-roles-createdomain-perms)
+ [CreateImage y UpdateImage APIs: Permisos de rol de ejecución](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: Permisos de rol de ejecución](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: permisos de funciones de ejecución](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: permisos de rol de ejecución](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: permisos de rol de ejecución](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: permisos de rol de ejecución](#sagemaker-roles-createmodel-perms)
+ [SageMaker funciones de capacidades geoespaciales](sagemaker-geospatial-roles.md)
## CreateAutoMLJob y API CreateAuto MLJob V2: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateAutoMLJob` o `CreateAutoMLJobV2`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Si especifica una VPC privada para el trabajo de AutoML, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si la entrada está cifrada mediante un cifrado del lado del servidor con una clave AWS gestionada por KMS (SSE-KMS), añada los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si especifica una clave de KMS en la configuración de salida del trabajo AutoML, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si especifica una clave de KMS de volumen en la configuración de recursos del trabajo AutoML, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: permisos de rol de ejecución
La función de ejecución para los dominios con el centro de identidad de IAM y la user/execution función para los dominios de IAM necesitan los siguientes permisos cuando se transfiere una clave gestionada por el AWS KMS cliente como se indica `KmsKeyId` en la solicitud de `CreateDomain` API. Los permisos se aplican durante la llamada a la API `CreateApp`.
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateDomain`, puede asociar la siguiente política de permiso al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
Como alternativa, si los permisos se especifican en una política de KMS, puede asociar la siguiente política al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage y UpdateImage APIs: Permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateImage` o `UpdateImage`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: Permisos de rol de ejecución
Los permisos que concede para el rol de ejecución para la llamada a la API `CreateNotebookInstance` dependen de lo que piense hacer con la instancia de bloc de notas. Si planea usarla para invocar la SageMaker IA APIs y pasar la misma función al llamar a la función `CreateTrainingJob` y `CreateModel` APIs, adjunte la siguiente política de permisos a la función:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Para endurecer los permisos, limítelos a recursos de Amazon S3 y Amazon ECR específicos, limitando `"Resource": "*"` como se indica a continuación:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object1",
"arn:aws:s3:::outputbucket/path",
"arn:aws:s3:::inputbucket/object2",
"arn:aws:s3:::inputbucket/object3"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo1",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo2",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo3"
]
}
]
}
```
------
Si tiene previsto obtener acceso a otros recursos, como Amazon DynamoDB o Amazon Relational Database Service, agregue los permisos relevantes a esta política.
En la política anterior, examine la política de la siguiente forma:
+ Examine el permiso `s3:ListBucket` al bucket determinado que especifica como `InputDataConfig.DataSource.S3DataSource.S3Uri` en una solicitud `CreateTrainingJob`.
+ Examine los permisos `s3:GetObject `, `s3:PutObject` y `s3:DeleteObject` de la siguiente forma:
+ Examine los siguientes valores que especifica en una solicitud `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Examine los siguientes valores que especifica en una solicitud `CreateModel`:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ Examine los permisos `ecr` de la siguiente forma:
+ Examine el valor `AlgorithmSpecification.TrainingImage` que especifica en una solicitud `CreateTrainingJob`.
+ Examine el valor `PrimaryContainer.Image` que especifica en una solicitud `CreateModel`:
Las acciones `cloudwatch` y `logs` son aplicables a los recursos "\$1". Para obtener más información, consulta [CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
## CreateHyperParameterTuningJob API: permisos de funciones de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateHyperParameterTuningJob`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
En lugar de `"Resource": "*"` especificarlos, puede limitar estos permisos a recursos específicos de Amazon S3, Amazon ECR y Amazon CloudWatch Logs:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Si el contenedor de entrenamiento asociado al trabajo de ajuste de hiperparámetros tiene que acceder a otros orígenes de datos, como los recursos de DynamoDB o Amazon RDS, agregue los permisos pertinentes a esta política.
En la política anterior, examine la política de la siguiente forma:
+ Examine el permiso `s3:ListBucket` al bucket determinado que especifica como `InputDataConfig.DataSource.S3DataSource.S3Uri` en una solicitud `CreateTrainingJob`.
+ Examine los permisos `s3:GetObject `y `s3:PutObject` de los siguientes objetos que especifica en la configuración de datos de entrada y salida en una solicitud `CreateHyperParameterTuningJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Delimite los permisos de Amazon ECR a la ruta de registro (`AlgorithmSpecification.TrainingImage`) que especifique en una solicitud `CreateHyperParameterTuningJob`.
+ Limite CloudWatch los permisos de Amazon Logs a registrar un grupo de trabajos de SageMaker formación.
Las acciones `cloudwatch` son aplicables a los recursos “\$1”. Para obtener más información, consulta [ CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
Si especifica una VPC privada para el trabajo de ajuste de hiperparámetros, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si la entrada está cifrada mediante un cifrado del lado del servidor con una clave AWS gestionada por KMS (SSE-KMS), añada los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si especifica una clave de KMS en la configuración de salida del trabajo de ajuste de hiperparámetros, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si especifica una clave de KMS de volumen en la configuración de recursos del trabajo de ajuste de hiperparámetros, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateProcessingJob`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
En lugar de especificar `"Resource": "*"`, podría delimitar estos permisos a recursos de Amazon S3 y Amazon ECR específicos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Si `CreateProcessingJob.AppSpecification.ImageUri` tiene que tener acceso a otros orígenes de datos, como recursos de Amazon DynamoDB o Amazon RDS, agregue los permisos pertinentes a esta política.
En la política anterior, examine la política de la siguiente forma:
+ Examine el permiso `s3:ListBucket` al bucket determinado que especifica como `ProcessingInputs` en una solicitud `CreateProcessingJob`.
+ Examine los permisos `s3:GetObject ` y `s3:PutObject` a los objetos que se descargarán o cargarán en `ProcessingInputs` y `ProcessingOutputConfig` en una solicitud `CreateProcessingJob`.
+ Delimite los permisos de Amazon ECR a la ruta de registro (`AppSpecification.ImageUri`) que especifique en una solicitud `CreateProcessingJob`.
Las acciones `cloudwatch` y `logs` son aplicables a los recursos "\$1". Para obtener más información, consulta [CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
Si especifica una VPC privada para el trabajo de procesamiento, agregue los siguientes permisos. No incluya condiciones ni filtros de recursos a la política. De lo contrario, las comprobaciones de validación que se realicen durante la creación del trabajo de procesamiento darán por resultado un error.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si la entrada está cifrada mediante un cifrado del lado del servidor con una clave AWS gestionada por KMS (SSE-KMS), añada los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si especifica una clave de KMS en la configuración de salida del trabajo de procesamiento, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si especifica una clave de KMS de volumen en la configuración de recursos del trabajo de procesamiento, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateTrainingJob`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
En lugar de especificar `"Resource": "*"`, podría delimitar estos permisos a recursos de Amazon S3 y Amazon ECR específicos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Si `CreateTrainingJob.AlgorithSpecifications.TrainingImage` tiene que tener acceso a otros orígenes de datos, como recursos de Amazon DynamoDB o Amazon RDS, agregue los permisos pertinentes a esta política.
Si especifica un recurso de algoritmo mediante el `AlgorithmSpecification.AlgorithmArn` parámetro, la función de ejecución también debe tener el siguiente permiso:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
En la política anterior, examine la política de la siguiente forma:
+ Examine el permiso `s3:ListBucket` al bucket determinado que especifica como `InputDataConfig.DataSource.S3DataSource.S3Uri` en una solicitud `CreateTrainingJob`.
+ Examine los permisos `s3:GetObject `y `s3:PutObject` de los siguientes objetos que especifica en la configuración de datos de entrada y salida en una solicitud `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Delimite los permisos de Amazon ECR a la ruta de registro (`AlgorithmSpecification.TrainingImage`) que especifique en una solicitud `CreateTrainingJob`.
Las acciones `cloudwatch` y `logs` son aplicables a los recursos "\$1". Para obtener más información, consulta [CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
Si especifica una VPC privada para el trabajo de capacitación, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si la entrada está cifrada mediante un cifrado del lado del servidor con una clave AWS gestionada por KMS (SSE-KMS), añada los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si especifica una clave de KMS en la configuración de salida del trabajo de capacitación, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si especifica una clave de KMS de volumen en la configuración de recursos del trabajo de capacitación, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de la API `CreateModel`, puede asociar la siguiente política de permisos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
En lugar de especificar `"Resource": "*"`, puede delimitar estos permisos a recursos específicos de Amazon S3 y Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
]
}
]
}
```
------
Si `CreateModel.PrimaryContainer.Image` tiene que obtener acceso a otros orígenes de datos, como recursos de Amazon DynamoDB o Amazon RDS, agregue permisos relevantes a esta política.
En la política anterior, examine la política de la siguiente forma:
+ Examine los permisos de S3 en objetos que especifique en `PrimaryContainer.ModelDataUrl` en una solicitud [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
+ Delimite los permisos de Amazon ECR a una ruta de registro determinada que especifica como `PrimaryContainer.Image` y `SecondaryContainer.Image` en una solicitud `CreateModel`.
Las acciones `cloudwatch` y `logs` son aplicables a los recursos "\$1". Para obtener más información, consulta [CloudWatch Recursos y operaciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) en la Guía del CloudWatch usuario de Amazon.
**nota**
Si planea utilizar la [función de barreras de despliegue de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) para el despliegue de modelos en producción, asegúrese de que su función de ejecución tenga permiso para realizar la `cloudwatch:DescribeAlarms` acción en sus alarmas de reversión automática.
Si especifica una VPC privada para el modelo, agregue los siguientes permisos:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
# SageMaker funciones de capacidades geoespaciales
Como servicio gestionado, las capacidades SageMaker geoespaciales de Amazon realizan operaciones en su nombre en el AWS hardware gestionado por la SageMaker IA. Se utiliza AWS Identity and Access Management para conceder a los usuarios, grupos y roles acceso a la información SageMaker geoespacial.
Un administrador de IAM puede conceder estos permisos a un usuario, grupo o rol mediante el Consola de administración de AWS AWS CLI, o uno de los. AWS SDKs
**Para utilizar la información SageMaker geoespacial, necesita los siguientes permisos de IAM.**
1. **Una función de ejecución de SageMaker IA.**
Para utilizar las operaciones de API específicas SageMaker desde el punto de vista geoespacial, su función de ejecución de la SageMaker IA debe incluir al director del servicio SageMaker geoespacial `sagemaker-geospatial.amazonaws.com` en la política de confianza de la función de ejecución. Esto permite que la función de ejecución de la SageMaker IA lleve a cabo acciones Cuenta de AWS en su nombre.
1. **Un usuario, grupo o rol que tiene acceso a Amazon SageMaker Studio Classic y SageMaker geospatial**
Para empezar con la tecnología SageMaker geoespacial, puede utilizar la política AWS administrada:. `AmazonSageMakerGeospatialFullAccess` Estas concesiones otorgarán a un usuario, grupo o rol acceso completo a la información SageMaker geoespacial. Para ver la política y obtener más información sobre qué acciones, recursos y condiciones están disponibles, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Para empezar a usar Studio Classic y crear un dominio de Amazon SageMaker AI, consulte[Descripción general del dominio Amazon SageMaker AI](gs-studio-onboard.md).
Utilice los siguientes temas para crear una nueva función de ejecución de SageMaker IA, actualizar una función de ejecución de SageMaker IA existente y aprender a gestionar los permisos mediante acciones, recursos y condiciones de IAM específicos desde el punto de vista SageMaker geoespacial.
**Topics**
+ [Crear una nueva función de ejecución de la SageMaker IA](sagemaker-geospatial-roles-create-execution-role.md)
+ [Añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente](sagemaker-geospatial-roles-pass-role.md)
+ [API `StartEarthObservationJob`: permisos de rol de ejecución](sagemaker-roles-start-eoj-perms.md)
+ [API `StartVectorEnrichmentJob`: permisos de rol de ejecución](sagemaker-roles-start-vej-perms.md)
+ [API `ExportEarthObservationJob`: permisos de rol de ejecución](sagemaker-roles-export-eoj-perms.md)
+ [API `ExportVectorEnrichmentJob`: permisos de rol de ejecución](sagemaker-roles-export-vej-perms.md)
# Crear una nueva función de ejecución de la SageMaker IA
Para trabajar con las capacidades SageMaker geoespaciales, debe configurar un usuario, grupo o rol y un rol de ejecución. Un rol de usuario es una AWS identidad con políticas de permisos que determinan lo que el usuario puede y no puede hacer en AWS ella. Un rol de ejecución es un rol de IAM que concede al servicio permiso para acceder a sus recursos de AWS . Un rol de ejecución consiste en una política de permisos y confianza. La política de confianza especifica qué entidades principales tienen permiso para asumir el rol.
SageMaker el sector geoespacial también requiere un director de servicio diferente,`sagemaker-geospatial.amazonaws.com`. Si ya es cliente de SageMaker IA, debe añadir este principio de servicio adicional a su política de confianza.
Utilice el siguiente procedimiento para crear un rol de ejecución nuevo con la política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, asociada. Si su caso de uso requiere permisos más detallados, utilice otras secciones de esta guía para crear un rol de ejecución que se adapte a las necesidades de su empresa.
**importante**
La política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, utilizada en el siguiente procedimiento, solo concede permiso al rol de ejecución para realizar determinadas acciones de Amazon S3 en buckets u objetos con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` en el nombre. Para obtener información sobre cómo actualizar la política del rol de ejecución para concederle acceso a otros buckets y objetos de Amazon S3, consulte [Añadir permisos adicionales de Amazon S3 a una función de ejecución de SageMaker IA](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**Para crear un nuevo rol**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** y seleccione **Crear rol**.
1. Seleccione **SageMaker**.
1. Seleccione **Siguiente: Permisos**.
1. La política administrada por IAM, `AmazonSageMakerGeospatialFullAccess`, se asocia automáticamente a este rol. Para ver los permisos incluidos en esta política, seleccione la flecha lateral situada junto al nombre de la política. Seleccione **Siguiente: Etiquetas**.
1. De forma opcional, agregue etiquetas y seleccione **Siguiente: Revisar**.
1. Asigne un nombre al rol en el campo de texto situado bajo **Nombre del rol** y seleccione **Crear rol**.
1. En la sección **Roles** de la consola de IAM, seleccione el rol que acaba de crear en el paso 7. Si es necesario, utilice el cuadro de texto para buscar el rol con el nombre del rol que ingresó en el paso 7.
1. En la página de resumen del rol, tome nota del ARN del rol.
# Añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente
Para utilizar las operaciones de API específicas SageMaker desde el punto de vista geoespacial, su función de ejecución de la SageMaker IA debe incluir al director del servicio SageMaker geoespacial `sagemaker-geospatial.amazonaws.com` en la política de confianza de la función de ejecución. Esto permite que la función de ejecución de la SageMaker IA lleve a cabo acciones Cuenta de AWS en su nombre.
Acciones como transferir una función de un servicio a otro son habituales en la SageMaker IA. Para obtener más información,
Para añadir el director del servicio SageMaker geoespacial a una función de ejecución de SageMaker IA existente, actualice la política existente para incluir al director del servicio SageMaker geoespacial, tal como se muestra en la siguiente política de confianza. Al asociar el director del servicio a la política de confianza, un rol de ejecución de SageMaker IA ahora puede ejecutar la función SageMaker geoespacial específica APIs en su nombre.
*Para obtener más información sobre las acciones, los recursos y las condiciones de la IAM específicos desde el punto de vista SageMaker geoespacial, consulte las [claves de las acciones, los recursos y las condiciones de la SageMaker IA en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) de la IAM.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# API `StartEarthObservationJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `StartEarthObservationJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `StartVectorEnrichmentJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `StartVectorEnrichmentJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `ExportEarthObservationJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `ExportEarthObservationJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de [claves de bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obtener más información.
# API `ExportVectorEnrichmentJob`: permisos de rol de ejecución
Para un rol de ejecución que puede pasar en una solicitud de API `ExportVectorEnrichmentJob`, puede asociar la siguiente política de permisos mínimos al rol:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si el bucket de Amazon S3 de entrada está cifrado mediante cifrado del lado del servidor con una clave AWS KMS gestionada (SSE-KMS), consulte Uso de claves de bucket de [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# Gestor de SageMaker funciones de Amazon
Los administradores de aprendizaje automático (ML) que se esfuerzan por obtener permisos con privilegios mínimos con Amazon SageMaker AI deben tener en cuenta una diversidad de perspectivas del sector, incluidas las necesidades únicas de acceso con los mínimos privilegios que requieren personas como los científicos de datos, los ingenieros de operaciones de aprendizaje automático () MLOps y más. Utilice Amazon SageMaker Role Manager para crear y gestionar funciones de IAM basadas en personas para necesidades comunes de aprendizaje automático directamente a través de la consola Amazon SageMaker AI.
Amazon SageMaker Role Manager proporciona tres roles preconfigurados y permisos predefinidos para actividades comunes de aprendizaje automático. Explore las personas proporcionadas y las políticas sugeridas, o cree y mantenga roles para personas únicas que se adapten a las necesidades de su empresa. Si necesita una personalización adicional, especifique los permisos de red y cifrado para los recursos y las claves de [AWS Key Management Service](https://aws.amazon.com/kms/)cifrado [Paso 1. Ingresar la información del rol](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) de [Amazon Virtual Private Cloud](https://aws.amazon.com/vpc/) en Amazon SageMaker Role Manager.
**Topics**
+ [Uso del administrador de roles (consola)](role-manager-tutorial.md)
+ [Uso del administrador de roles (AWS CDK)](role-manager-tutorial-cdk.md)
+ [Referencia de persona](role-manager-personas.md)
+ [Referencia de actividad de ML](role-manager-ml-activities.md)
+ [Inicialización de Studio Classic](role-manager-launch-notebook.md)
+ [Administrador de roles FAQs](role-manager-faqs.md)
# Uso del administrador de roles (consola)
Puede utilizar el Amazon SageMaker Role Manager desde las siguientes ubicaciones de la barra de navegación de la izquierda de la consola Amazon SageMaker AI:
+ **Introducción**: agregue rápidamente políticas de permisos para sus usuarios.
+ **dominios**: añada políticas de permisos para los usuarios de un dominio de Amazon SageMaker AI.
+ **Cuadernos**: agregue un mínimo de permisos a los usuarios que creen y ejecuten cuadernos.
+ **Entrenamiento**: agregue un mínimo de permisos a los usuarios que creen y administren trabajos de entrenamiento.
+ **Inferencia**: agregue un mínimo de permisos para los usuarios que implementen y administren modelos para realizar inferencias.
Puede utilizar los siguientes procedimientos para iniciar el proceso de creación de un rol desde diferentes ubicaciones de la consola de SageMaker IA.
## Introducción
Si es la primera vez que utilizas la SageMaker IA, te recomendamos que crees un rol en la sección **Primeros pasos**.
Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.
1. Abre la consola Amazon SageMaker AI.
1. En el panel de navegación izquierdo, seleccione **Configuraciones de administración**.
1. En **Configuraciones de administración**, elija **Administrador de roles**.
1. Elija **Crear rol**.
## domains
Puede crear un rol con Amazon SageMaker Role Manager al iniciar el proceso de creación de un dominio de Amazon SageMaker AI.
Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.
1. Abre la consola Amazon SageMaker AI.
1. En el panel de navegación izquierdo, seleccione **Configuraciones de administración**.
1. En **Configuraciones de administración**, elija **Dominios**.
1. Elija **Crear un dominio**.
1. Elija **Crear un rol de con el asistente de creación de roles**.
## Cuaderno
Puede crear un rol con Amazon SageMaker Role Manager al iniciar el proceso de creación de un bloc de notas.
Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.
1. Abre la consola Amazon SageMaker AI.
1. En el panel de navegación izquierdo, seleccione **Cuaderno**.
1. Seleccione **Instancias de bloc de notas**.
1. Elija **Crear instancia de bloc de notas**.
1. Elija **Crear un rol de con el asistente de creación de roles**.
## Formación
Puede crear un rol con Amazon SageMaker Role Manager al iniciar el proceso de creación de un trabajo de formación.
Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.
1. Abre la consola Amazon SageMaker AI.
1. En el panel de navegación izquierdo, elija **Entrenamiento**.
1. Seleccione **Trabajos de entrenamiento**.
1. Elija **Crear trabajo de entrenamiento**.
1. Elija **Crear un rol de con el asistente de creación de roles**.
## Inferencia
Puede crear un rol con Amazon SageMaker Role Manager al iniciar el proceso de implementación de un modelo de inferencia.
Para crear un rol con Amazon SageMaker Role Manager, haga lo siguiente.
1. Abre la consola Amazon SageMaker AI.
1. En el panel de navegación izquierdo, elija **Inferencia**.
1. Seleccione **Modelos**.
1. Seleccione **Crear modelo**.
1. Elija **Crear un rol de con el asistente de creación de roles**.
Una vez que haya completado uno de los procedimientos anteriores, utilice la información de las siguientes secciones para ayudarle a crear el rol.
## Requisitos previos
Para utilizar Amazon SageMaker Role Manager, debe tener permiso para crear un rol de IAM. Este permiso suele estar disponible para los administradores de ML y los roles con permisos de privilegios mínimos para los profesionales de ML.
Puede asumir temporalmente un rol de IAM en el Consola de administración de AWS [cambiando](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) de rol. Para más información sobre los métodos para el uso de roles, consulte [Uso de roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) en la *Guía del usuario de IAM*.
## Paso 1. Ingresar la información del rol
Proporcione un nombre para usarlo como sufijo exclusivo de su nueva función de SageMaker IA. De forma predeterminada, se agrega el prefijo `"sagemaker-"` al nombre de cada rol para facilitar la búsqueda en la consola de IAM. Por ejemplo, si llama a su rol `test-123` durante la creación del rol, este aparecerá como `sagemaker-test-123` en la consola de IAM. También puede optar por agregar una descripción de su rol para proporcionar detalles adicionales.
Luego, elige una de las personas disponibles para obtener sugerencias de permisos para personas como científicos de datos, ingenieros de datos o ingenieros de operaciones de aprendizaje automático (MLOps). Para obtener información sobre las personas disponibles y sus permisos sugeridos, consulte [Referencia de persona](role-manager-personas.md). Para crear un rol sin ningún permiso sugerido que le sirva de guía, seleccione **Configuración de rol personalizada**.
**nota**
Te recomendamos que primero utilices el administrador de roles para crear un rol de cómputo de SageMaker IA, de modo que los recursos de cómputo de SageMaker IA puedan realizar tareas como la formación y la inferencia. Usa el personaje de rol de cómputo de SageMaker IA para crear este rol con el administrador de roles. Tras crear un rol de cómputo de SageMaker IA, anote su ARN para usarlo en el futuro.
### Condiciones de red y cifrado
Se recomienda activar la personalización de la VPC para usar configuraciones de VPC, subredes y grupos de seguridad con políticas de IAM asociadas a su nuevo rol. Cuando se activa la personalización de la VPC, las políticas de IAM para las actividades de ML que interactúan con los recursos de la VPC se limitan al acceso con privilegios mínimos. La personalización de la VPC no está habilitada de forma predeterminada. Para obtener más información sobre la arquitectura de red recomendada, consulte [Networking architecture](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/networking-architecture.html) en la *Guía técnica de AWS *.
También puede utilizar una clave de KMS para cifrar, descifrar y volver a cifrar datos para cargas de trabajo reguladas con datos altamente confidenciales. Cuando se activa la AWS KMS personalización, las políticas de IAM para las actividades de aprendizaje automático que admiten claves de cifrado personalizadas se limitan al acceso con menos privilegios. Para obtener más información, consulte [Encryption with AWS KMS](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/encryption-with-kms.html) en la *Guía técnica de AWS *.
## Paso 2. Configurar las actividades de ML
Cada actividad de Amazon SageMaker Role Manager ML incluye permisos de IAM sugeridos para proporcionar acceso a AWS los recursos pertinentes. Algunas actividades de aprendizaje automático requieren que añada un rol de servicio ARNs para completar la configuración. Para obtener información sobre las actividades de ML predefinidas y sus permisos, consulte [Referencia de actividad de ML](role-manager-ml-activities.md). Para obtener más información sobre cómo agregar roles de servicio, consulte [Roles de servicio](#role-manager-tutorial-configure-ml-activities-service-roles).
En función de la persona elegida, algunas actividades de ML ya están seleccionadas. Puede quitar la selección de cualquier actividad de ML sugerida o seleccionar actividades adicionales para crear su propio rol. Si selecciona la persona de configuración de rol personalizada, en este paso no se preseleccionará ninguna actividad de ML.
Puede añadir cualquier política de IAM adicional AWS o gestionada por el cliente a su función en. [Paso 3: Agregar políticas y etiquetas adicionales](#role-manager-tutorial-add-policies-and-tags)
### Roles de servicio
Algunos AWS servicios requieren un rol de servicio para realizar acciones en su nombre. Si la actividad de ML que ha seleccionado requiere que pase un rol de servicio, debe proporcionar el ARN de ese rol de servicio.
Puedes crear un nuevo rol de servicio o usar uno existente, como un rol de servicio creado con el personaje de SageMaker AI Compute Role. Para buscar el ARN de un rol existente, seleccione el nombre del rol en la sección Roles de la [Consola de IAM](https://console.aws.amazon.com/iamv2/). Para obtener más información sobre los roles de servicio, consulta [Cómo crear un rol para un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
## Paso 3: Agregar políticas y etiquetas adicionales
Puede añadir cualquier política de IAM existente AWS o gestionada por el cliente a su nueva función. Para obtener información sobre las políticas de SageMaker IA existentes, consulte [Políticas AWS gestionadas para Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html). También puede consultar sus políticas actuales en la sección **Roles** de la [consola de IAM](https://console.aws.amazon.com/iamv2/).
Si lo desea, utilice condiciones de política basadas en etiquetas para asignar información de metadatos a fin de clasificar y gestionar AWS los recursos. Cada etiqueta está representada por un par clave-valor. Para obtener más información, consulte [Control de acceso a recursos de AWS mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
## Revisar el rol
Tómese su tiempo para revisar toda la información asociada a su nuevo rol. Seleccione **Anterior** para volver atrás y editar cualquier parte de la información. Cuando esté listo para crear el rol, seleccione **Crear**. Esto genera un rol con permisos para las actividades de ML seleccionadas. Puede ver su nuevo rol en la sección **Roles** de la [Consola de IAM](https://console.aws.amazon.com/iamv2/).
# Uso del administrador de roles (AWS CDK)
Use el administrador AWS Cloud Development Kit (AWS CDK) de SageMaker roles de Amazon para crear roles y establecer permisos mediante programación. Puede utilizar el AWS CDK para realizar cualquier tarea que pueda realizar con el. Consola de administración de AWS El acceso programático del CDK facilita la concesión de permisos que permitan a los usuarios acceder a recursos específicos. Para obtener más información sobre el AWS CDK, consulte [¿Qué es AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html)
**importante**
Debe usar el rol de cómputo de SageMaker IA para crear un rol de cómputo de SageMaker IA. Para obtener más información acerca de la persona de computación, consulte [SageMaker Persona de ordenador AI](role-manager-personas.md#role-manager-personas-compute). Para ver el código que puede usar para crear el rol de cómputo dentro del AWS CDK, consulte[Conceder permisos a una persona de computación](#role-manager-cdk-compute-persona).
A continuación se muestran ejemplos de tareas que puede realizar en el AWS CDK:
+ Cree funciones de IAM con permisos detallados para personas dedicadas al aprendizaje automático (ML), como científicos de datos e MLOps ingenieros.
+ Conceder permisos a construcciones de CDK a partir de personas o actividades de ML.
+ Establecer parámetros de condición de actividad de ML.
+ Habilite Amazon VPC y sus AWS Key Management Service condiciones globales y establezca valores para ellas.
+ Elegir entre todas las versiones de las actividades de ML para sus usuarios sin interrumpir su acceso.
Hay AWS tareas comunes relacionadas con el aprendizaje automático (ML) con SageMaker IA que requieren permisos de IAM específicos. Los permisos para realizar las tareas se definen como actividades de aprendizaje automático en Amazon SageMaker Role Manager. Las actividades de ML especifican un conjunto de permisos que están vinculados al rol de IAM. Por ejemplo, la actividad de aprendizaje automático de Amazon SageMaker Studio Classic tiene todos los permisos que un usuario necesita para acceder a Studio Classic. Para obtener más información sobre las actividades de ML, consulte [Referencia de actividad de ML](role-manager-ml-activities.md).
Al crear roles, primero debe definir los constructos para la persona de ML o la actividad de ML. Una construcción es un recurso dentro de la AWS CDK pila. Por ejemplo, un constructo podría ser un bucket de Amazon S3, una subred de Amazon VPC o un rol de IAM.
Al crear la persona o actividad, puede limitar los permisos asociados a esa persona o actividad a recursos específicos. Por ejemplo, puede personalizar la actividad para que solo proporcione permisos para una subred específica dentro de una Amazon VPC.
Una vez definidos los permisos, puede crear funciones y, a continuación, transferirlas para crear otros recursos, como instancias de SageMaker bloc de notas.
Los siguientes son ejemplos de código en TypeScript para tareas que puede realizar con el CDK. Al crear una actividad, se especifica un ID y las opciones para el constructo de la actividad. Las opciones son diccionarios que especifican los parámetros necesarios para las actividades, como un Amazon S3. Se pasa un diccionario vacío para las actividades que no tienen los parámetros necesarios.
## Conceder permisos a una persona de computación
El siguiente código crea una persona de ML de científico de datos con un conjunto de actividades de ML específicas para esa persona. Los permisos de las actividades de aprendizaje automático solo se aplican a la VPC de Amazon y a AWS KMS las configuraciones especificadas en la construcción de persona. El siguiente código crea una clase para una persona de científico de datos. Las actividades de ML se definen en la lista de actividades. Los permisos de VPC y los permisos de KMS se definen como parámetros opcionales fuera de la lista de actividades.
Una vez que haya definido la clase, puede crear un rol como una construcción dentro de la AWS CDK pila. También puede crear una instancia de cuaderno. La persona que usa el rol de IAM que has creado en el siguiente código puede acceder a la instancia del bloc de notas al iniciar sesión en su AWS cuenta.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.accessAwsServices(this, 'example-id1', {})
]
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Conceder permisos a una persona de científico de datos
El siguiente código crea una persona de ML de científico de datos con un conjunto de actividades de ML específicas para esa persona. Los permisos de las actividades de ML solo se aplican a la VPC y a las configuraciones de KMS especificadas en el constructo de persona. El siguiente código crea una clase para una persona de científico de datos. Las actividades de ML se definen en la lista de actividades. Los permisos de Amazon VPC y los AWS KMS permisos se definen como parámetros opcionales fuera de la lista de actividades.
Una vez definida la clase, puede crear un rol como una construcción dentro de la AWS CDK pila. También puede crear una instancia de cuaderno. La persona que usa el rol de IAM que has creado en el siguiente código puede acceder a la instancia del bloc de notas al iniciar sesión en su AWS cuenta.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageJobs(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageModels(this, 'example-id3', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageExperiments(this, 'example-id4', {}),
Activity.visualizeExperiments(this, 'example-id5', {}),
Activity.accessS3Buckets(this, 'example-id6', {s3buckets: [s3.S3Bucket.fromBucketName('amzn-s3-demo-bucket')]})
],
// optional: to configure VPC permissions
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
// optional: to configure KMS permissions
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
const notebookInstance = new CfnNotebookInstance(this, 'example-notebook-instance-name', { RoleArn: role.RoleArn, ...});
}
}
```
## Conceder permisos a una persona de MLOps
El siguiente código crea una persona de MLOps con un conjunto de actividades de ML específicas para esa persona. Los permisos de las actividades de aprendizaje automático solo se aplican a la VPC de Amazon y a AWS KMS las configuraciones especificadas en la construcción de persona. El siguiente código crea una clase para una persona de MLOps. Las actividades de ML se definen en la lista de actividades. Los permisos de VPC y los permisos de KMS se definen como parámetros opcionales fuera de la lista de actividades.
Una vez que haya definido la clase, puede crear un rol como una construcción dentro de la AWS CDK pila. También puede crear un perfil de usuario de Amazon SageMaker Studio Classic. La persona que utilice el rol de IAM que ha creado en el siguiente código puede abrir SageMaker Studio Classic al iniciar sesión en su AWS cuenta.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
let userProfile = new CfnNUserProfile(this, 'example-Studio Classic-profile-name', { RoleName: role.RoleName, ... });
}
}
```
## Conceder permisos a un constructo
El siguiente código crea una persona de MLOps con un conjunto de actividades de ML específicas para esa persona. El siguiente código crea una clase para una persona de MLOps. Las actividades de ML se definen en la lista de actividades.
Una vez que hayas definido la clase, puedes crear un rol como una construcción dentro de la AWS CDK pila. También puede crear una instancia de cuaderno. El código concede permisos de las actividades de ML al rol de IAM de la función de Lambda.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
});
const lambdaFn = lambda.Function.fromFunctionName('example-lambda-function-name');
persona.grantPermissionsTo(lambdaFn);
}
}
```
## Conceder permisos para una sola actividad de ML
El siguiente código crea una actividad de ML y crea un rol a partir de la actividad. Los permisos de la actividad solo se aplican a la configuración de VPC y KMS que especifique para el usuario.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = activity.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Crear un rol y asignarle permisos para una sola actividad
El siguiente código crea un rol de IAM para una única actividad de ML.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
});
activity.create_role(this, 'example-IAM-role-id', 'example-IAM-role-name')
}
}
```
# Referencia de persona
Amazon SageMaker Role Manager proporciona permisos sugeridos para varias personas de aprendizaje automático. Estos incluyen las funciones de ejecución de los usuarios para las responsabilidades habituales de los profesionales del aprendizaje automático, así como las funciones de ejecución de servicios para las interacciones de AWS servicio habituales necesarias para trabajar con la SageMaker IA.
Cada persona tiene permisos sugeridos en forma de actividades de ML seleccionadas. Para obtener información sobre las actividades de ML predefinidas y sus permisos, consulte [Referencia de actividad de ML](role-manager-ml-activities.md).
## Persona de científico de datos
Utilice esta persona para configurar los permisos que le permitan desarrollar y experimentar con el aprendizaje automático en general en un entorno de SageMaker IA. Esta persona incluye las siguientes actividades de ML preseleccionadas:
+ Ejecutar aplicaciones de Studio Classic
+ Administrar trabajos de ML
+ Administrar modelos
+ Administra AWS Glue tablas
+ Servicios de IA de Canvas
+ Lienzo MLOps
+ Acceso a Canvas Kendra
+ Uso MLflow
+ Se requiere acceso a AWS los Servicios para MLflow
+ Ejecutar aplicaciones de Studio EMR sin servidor
## MLOps persona
Elija esta persona para configurar los permisos para las actividades operativas. Esta persona incluye las siguientes actividades de ML preseleccionadas:
+ Ejecutar aplicaciones de Studio Classic
+ Administrar modelos
+ Administrar canalizaciones
+ Buscar y visualizar experimentos
+ Acceso completo a Amazon S3
## SageMaker Persona de ordenador AI
**nota**
Le recomendamos que utilice primero el administrador de roles para crear un rol de cómputo de SageMaker IA para que los recursos de cómputo de SageMaker IA puedan realizar tareas como la formación y la inferencia. Usa el personaje de rol de cómputo de SageMaker IA para crear este rol con el administrador de roles. Tras crear un rol de cómputo de SageMaker IA, anote su ARN para usarlo en el futuro.
Esta persona incluye la siguiente actividad de ML preseleccionada:
+ Acceda a los servicios necesarios AWS
# Referencia de actividad de ML
Las actividades de aprendizaje automático son AWS tareas habituales relacionadas con el aprendizaje automático con SageMaker IA que requieren permisos de IAM específicos. Cada [persona](https://docs.aws.amazon.com/sagemaker/latest/dg/role-manager-personas.html) sugiere actividades de aprendizaje automático relacionadas al crear un rol en Amazon SageMaker Role Manager. Puede seleccionar cualquier actividad de ML adicional o quitar la selección de cualquier actividad de ML sugerida para crear un rol que se adapte a sus necesidades empresariales únicas.
Amazon SageMaker Role Manager proporciona permisos predefinidos para las siguientes actividades de aprendizaje automático:
****
| **Actividad de ML** | **Descripción** |
| --- | --- |
| Acceda a los AWS servicios necesarios | Permisos para acceder a Amazon S3, Amazon ECR CloudWatch, Amazon y Amazon EC2. Se requiere para los roles de ejecución de los trabajos y los puntos de conexión. |
| Ejecutar aplicaciones de Studio Classic | Permisos para operar en un entorno de Studio Classic. Se requiere para los roles de ejecución de dominios y perfiles de usuario. |
| Administrar trabajos de ML | Permisos para auditar, consultar el linaje y visualizar los experimentos. |
| Administrar modelos | Permisos para gestionar los trabajos de SageMaker IA a lo largo de sus ciclos de vida. |
| Administrar canalizaciones | Permisos para gestionar las SageMaker canalizaciones y las ejecuciones de las canalizaciones. |
| Buscar y visualizar experimentos | Permisos para auditar, consultar el linaje y visualizar los experimentos de SageMaker IA. |
| Administrar el monitor de modelos | Permisos para gestionar los cronogramas de monitoreo de SageMaker AI Model Monitor. |
| Acceso completo a Amazon S3 | Permisos para realizar todas las operaciones de Amazon S3. |
| Acceder al bucket de Amazon S3 | Permisos para realizar operaciones en buckets de Amazon S3 específicos. |
| Consulta de grupos de trabajo de Athena | Permisos para ejecutar y administrar consultas de Amazon Athena. |
| Administre AWS Glue tablas | Permisos para crear y administrar AWS Glue tablas para SageMaker AI Feature Store y Data Wrangler. |
| SageMaker Canvas Core Access | Permisos para realizar experimentos en SageMaker Canvas (es decir, preparación básica de datos, construcción de modelos, validación). |
| SageMaker Preparación de datos en Canvas (con tecnología de Data Wrangler) | Permisos para realizar la preparación de end-to-end datos en SageMaker Canvas (es decir, agregar, transformar y analizar datos, crear y programar trabajos de preparación de datos en conjuntos de datos de gran tamaño). |
| SageMaker Servicios de IA de Canvas | Permisos para acceder a ready-to-use modelos de Amazon Bedrock, Amazon Textract, Amazon Rekognition y Amazon Comprehend. Además, el usuario puede ajustar los modelos de base de Amazon Bedrock y Amazon. SageMaker JumpStart |
| SageMaker Lienzo MLOps | Permiso para que los usuarios de SageMaker Canvas implementen directamente el modelo en el punto final. |
| SageMaker Acceso a Canvas Kendra | Permiso para que SageMaker Canvas acceda a Amazon Kendra para la búsqueda de documentos empresariales. El permiso solo se concede a los nombres de índice seleccionados en Amazon Kendra. |
| Utilice MLflow | Permisos para gestionar experimentos, ejecuciones y modelos en MLflow. |
| Administre los servidores MLflow de seguimiento | Permisos para administrar, iniciar y detener los servidores MLflow de seguimiento. |
| Se requiere acceso a AWS los servicios para MLflow | Permisos para que los servidores de MLflow seguimiento accedan a S3, Secrets Manager y Model Registry. |
| Ejecutar aplicaciones de Studio EMR sin servidor | Permisos para crear y gestionar aplicaciones EMR sin servidor en Amazon Studio. SageMaker |
# Inicialización de Studio Classic
Utilice sus roles centrados en personas para inicializar Studio. Si es administrador, puede dar a sus usuarios acceso a Studio Classic y hacer que asuman su rol de persona directamente a través del AWS IAM Identity Center. Consola de administración de AWS
## Inicie Studio Classic con Consola de administración de AWS
Para que los científicos de datos u otros usuarios asuman su persona a través de la Consola de administración de AWS, necesitan un rol de consola para acceder al entorno de Studio Classic.
No puede usar Amazon SageMaker Role Manager para crear un rol que conceda permisos a Consola de administración de AWS. Sin embargo, después de crear un rol de servicio en el administrador de roles, puede ir a la consola de IAM para editar el rol y agregar un rol de acceso de usuario. A continuación se muestra un ejemplo de un rol que proporciona a los usuarios acceso a la Consola de administración de AWS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeCurrentDomain",
"Effect": "Allow",
"Action": "sagemaker:DescribeDomain",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:domain/"
},
{
"Sid": "RemoveErrorMessagesFromConsole",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAcceptedPortfolioShares",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:ListModels",
"sagemaker:ListTrainingJobs",
"servicecatalog:ListPrincipalsForPortfolio",
"sagemaker:ListNotebookInstances",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "RequiredForAccess",
"Effect": "Allow",
"Action": [
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": "*"
},
{
"Sid": "CreatePresignedURLForAccessToDomain",
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedDomainUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:user-profile//"
}
]
}
```
------
En el panel de control de Studio Classic, seleccione **Agregar usuario** para crear un usuario nuevo. En la sección **Configuración general**, asigne un nombre a su usuario y establezca el **rol de ejecución predeterminado** para el usuario como el rol que creó con Amazon SageMaker Role Manager.
En la siguiente pantalla, selecciona la versión adecuada de Jupyter Lab y si quieres activar SageMaker JumpStart las plantillas de SageMaker AI Project. A continuación, elija **Siguiente**. En la página de configuración de SageMaker Canvas, elige si quieres activar la compatibilidad con SageMaker Canvas y, además, si deseas permitir la previsión de series temporales en Canvas. SageMaker A continuación, seleccione **Submit (Enviar)**.
Su nuevo usuario debería ser visible ahora en el panel de Studio Classic. Para probar a este usuario, seleccione **Studio** en la lista desplegable **Lanzar aplicación**, en la misma fila que el nombre del usuario.
## Inicialización de Studio Classic con IAM Identity Center
Para asignar a los usuarios del IAM Identity Center roles de ejecución, el usuario debe existir primero en el directorio del IAM Identity Center. Para obtener más información, consulte [Manage identities in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) en el *AWS IAM Identity Center*.
**nota**
El directorio de autenticación de IAM Identity Center y el dominio de Studio Classic deben estar en la misma Región de AWS.
1. Para asignar usuarios de IAM Identity Center a su dominio de Studio Classic, seleccione **Asignar usuarios y grupos** en el panel de Studio Classic. En la pantalla **Asignar usuarios y grupos**, seleccione su usuario científico de datos y, a continuación, elija **Asignar usuarios y grupos**.
1. Después de añadir el usuario al panel de Studio Classic, selecciónelo para abrir la pantalla de detalles del usuario.
1. En la pantalla **Detalles del usuario**, elija **Editar**.
1. En la pantalla **Editar perfil de usuario**, en **Configuración general**, modifique el **Rol de ejecución predeterminado** para que coincida con el rol de ejecución de usuario que ha creado para sus científicos de datos.
1. Elija **Siguiente** en el resto de las páginas de configuración y elija **Enviar** para guardar los cambios.
Cuando el científico de datos u otro usuario inicie sesión en el portal del IAM Identity Center, verá un icono para este dominio de Studio Classic. Al elegir ese mosaico, se inicia sesión en Studio Classic con el rol de ejecución de usuario que se le ha asignado.
# Administrador de roles FAQs
Consulte las siguientes preguntas frecuentes para obtener respuestas a las preguntas más frecuentes sobre Amazon SageMaker Role Manager.
## P: ¿Cómo puedo acceder a Amazon SageMaker Role Manager?
R: Puede acceder a Amazon SageMaker Role Manager a través de varias ubicaciones en la consola de Amazon SageMaker AI. Para obtener información sobre cómo acceder al administrador de roles y usarlo para crear un rol, consulte [Uso del administrador de roles (consola)](role-manager-tutorial.md).
## P: ¿Qué son las personas?
R: Las personas son grupos de permisos preconfigurados en función de las responsabilidades habituales de machine learning (ML). Por ejemplo, el experto en ciencia de datos sugiere permisos para el desarrollo y la experimentación generales del aprendizaje automático en un entorno de SageMaker IA, mientras que el experto MLOps sugiere permisos para las actividades de aprendizaje automático relacionadas con las operaciones.
## P: ¿Qué son las actividades de ML?
R: Las actividades de aprendizaje automático son AWS tareas habituales relacionadas con el aprendizaje automático con SageMaker IA que requieren permisos de IAM específicos. Cada persona sugiere actividades de aprendizaje automático relacionadas al crear un rol en Amazon SageMaker Role Manager. Las actividades de ML incluyen tareas como el acceso total a Amazon S3 o la búsqueda y visualización de experimentos. Para obtener más información, consulte [Referencia de actividad de ML](role-manager-ml-activities.md).
## P: ¿Los roles que creo son los de administrador de roles AWS Identity and Access Management (IAM)?
R: Sí. Los roles creados con Amazon SageMaker Role Manager son roles de IAM con políticas de acceso personalizadas. Puede ver los roles creados en la sección **Roles** de la [Consola de IAM](https://console.aws.amazon.com/iamv2/).
## P: ¿Cómo puedo ver los roles que he creado con Amazon SageMaker Role Manager?
R: Puede ver los roles creados en la sección **Roles** de la [Consola de IAM](https://console.aws.amazon.com/iamv2/). De forma predeterminada, se agrega el prefijo `"sagemaker-"` al nombre de cada rol para facilitar la búsqueda en la consola de IAM. Por ejemplo, si llama a su rol `test-123` durante la creación del rol, este aparecerá como `sagemaker-test-123` en la consola de IAM.
## P: ¿Puedo modificar un rol creado con Amazon SageMaker Role Manager una vez creado?
R: Sí. Puede modificar las funciones y políticas creadas por Amazon SageMaker Role Manager a través de la [consola de IAM](https://console.aws.amazon.com/iamv2/). Para obtener más información, consulte [Modificación de un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) en la *Guía del usuario de AWS Identity and Access Management *.
## P: ¿Puedo adjuntar mis propias políticas a los roles creados con Amazon SageMaker Role Manager?
R: Sí. Puede adjuntar AWS cualquier política de IAM gestionada por el cliente desde su cuenta al rol que cree con Amazon SageMaker Role Manager.
## P: ¿Cuántas políticas puedo añadir a un rol que creo con Amazon SageMaker Role Manager?
R: El límite máximo para asociar políticas administradas a un usuario o rol de IAM es 20. El límite máximo de tamaño de caracteres para las políticas administradas es 6144. Para obtener más información, consulte [Cuotas de objetos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities) y [Requisitos de nombres y cuotas de AWS Security Token Service e IAM y límites de caracteres](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html).
## P: ¿Puedo agregar condiciones a las actividades de ML?
R: Todas las condiciones que proporciones en [Paso 1. Ingresar la información del rol](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) Amazon SageMaker Role Manager, como subredes, grupos de seguridad o claves de KMS, se transfieren automáticamente a cualquier actividad de aprendizaje automático seleccionada. [Paso 2. Configurar las actividades de ML](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities) También puede agregar condiciones adicionales a las actividades de ML si es necesario. Por ejemplo, también puede agregar condiciones `InstanceTypes` o `IntercontainerTrafficEncryption`a la actividad de administración de trabajos de entrenamiento.
## P: ¿Puedo usar el etiquetado para administrar el acceso a cualquier recurso? AWS
R: **** Puede añadir etiquetas a su rol en [Paso 3: Agregar políticas y etiquetas adicionales](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags) Amazon SageMaker Role Manager. Para gestionar correctamente AWS los recursos mediante etiquetas, debe añadir la misma etiqueta tanto al rol como a cualquier política asociada. Por ejemplo, puede agregar una etiqueta a un rol y a un bucket de Amazon S3. Luego, dado que el rol pasa la etiqueta a la sesión de SageMaker IA, solo un usuario con ese rol puede acceder a ese bucket de S3. Puede agregar etiquetas a una política a través de la [Consola de IAM](https://console.aws.amazon.com/iamv2/). Para obtener más información, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html) en la *Guía del usuario de AWS Identity and Access Management *.
## P: ¿Puedo usar Amazon SageMaker Role Manager para crear un rol para acceder al Consola de administración de AWS?
R: No. Sin embargo, después de crear un rol de servicio en el administrador de roles, puede ir a la consola de IAM para editar el rol y agregar un rol de acceso humano a la consola de IAM.
## P: ¿Cuál es la diferencia entre un rol de federación de usuarios y un rol de ejecución de SageMaker IA?
R: Un usuario asume directamente un rol de federación de usuarios para acceder a recursos de AWS como el acceso a la Consola de administración de AWS. El servicio de SageMaker IA asume una función de ejecución de SageMaker IA para realizar una función en nombre de un usuario o de una herramienta de automatización. Por ejemplo, cuando un usuario abre una instancia de Studio Classic, Studio Classic asume el rol de ejecución asociado al perfil de usuario para acceder a los recursos de AWS en nombre del usuario. Si el perfil de usuario no especifica una función de ejecución, la función de ejecución se especifica a nivel de dominio de Amazon SageMaker AI.
## P: Si utilizo una aplicación web personalizada que accede a Studio Classic a través de una URL prefirmada, ¿qué rol se utiliza?
R: Si utilizas una aplicación web personalizada para acceder a Studio Classic, tienes una función híbrida de federación de usuarios y una función de ejecución de SageMaker IA. Asegúrese de que este rol tenga los permisos con privilegios mínimos tanto para lo que el usuario puede hacer como para lo que Studio Classic puede hacer en nombre del usuario asociado.
## P: ¿Puedo usar Amazon SageMaker Role Manager con la autenticación del Centro de Identidad de AWS IAM para mi dominio de Studio Classic?
R: Las aplicaciones en la nube de AWS IAM Identity Center Studio Classic utilizan un rol de ejecución de Studio Classic para conceder permisos a los usuarios federados. Este rol de ejecución se puede especificar en el perfil de usuario del IAM Identity Center de Studio Classic o en el dominio predeterminado. Las identidades y los grupos de usuarios deben sincronizarse en el Centro de identidades de IAM y el perfil de usuario de Studio Classic debe crearse con la asignación de usuarios del Centro de identidades de IAM mediante. [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) Para obtener más información, consulte [Inicialización de Studio Classic con IAM Identity Center](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center).
# Control de acceso para cuadernos
Debe utilizar procedimientos diferentes para controlar el acceso a las libretas e SageMaker instancias de libretas de Amazon SageMaker Studio Classic, ya que tienen distintos entornos de ejecución. Studio Classic utiliza permisos del sistema de archivos y contenedores para controlar el acceso a los cuadernos de Studio Classic y el aislamiento de los usuarios. Una instancia de SageMaker bloc de notas proporciona a los usuarios que inician sesión en la instancia de bloc de notas un acceso root predeterminado. En los temas siguientes, se describe cómo cambiar los permisos de ambos tipos de cuadernos.
**Topics**
+ [Control de acceso y configuración de permisos para las libretas SageMaker Studio](security-access-control-studio-nb.md)
+ [Controle el acceso raíz a una instancia de notebook SageMaker](nbi-root-access.md)
# Control de acceso y configuración de permisos para las libretas SageMaker Studio
Amazon SageMaker Studio utiliza permisos de contenedores y sistemas de archivos para el control de acceso y el aislamiento de los usuarios y cuadernos de Studio. Esta es una de las principales diferencias entre las libretas Studio y las instancias de libretas. SageMaker En este tema se describe cómo se configuran los permisos para evitar amenazas a la seguridad, qué hace la SageMaker IA de forma predeterminada y cómo el cliente puede personalizar los permisos. Para obtener más información sobre los cuadernos de Studio y su entorno de tiempo de ejecución, consulte [Usa las libretas clásicas de Amazon SageMaker Studio](notebooks.md).
**SageMaker Permisos de aplicaciones de IA**
Un *usuario en ejecución* es un POSIX user/group que se utiliza para ejecutar la JupyterServer aplicación y las KernelGateway aplicaciones dentro del contenedor.
El usuario run-as de la JupyterServer aplicación es sagemaker-user (1000) de forma predeterminada. Este usuario tiene permisos de sudo para permitir la instalación de dependencias, como los paquetes yum.
El usuario run-as de las KernelGateway aplicaciones es root (0) de forma predeterminada. Este usuario puede instalar dependencias mediante. pip/apt-get/conda
Debido a la reasignación de usuarios, ninguno de los usuarios puede acceder a los recursos ni realizar cambios en la instancia host.
**Reasignación de usuarios**
SageMaker La IA realiza una reasignación de usuarios para asignar un usuario dentro del contenedor a un usuario de la instancia host situada fuera del contenedor. El rango de usuarios IDs (0 a 65535) del contenedor se asigna a los usuarios no privilegiados IDs superiores a 65535 en la instancia. Por ejemplo, el sagemaker-user (1000) del contenedor podría asignarse al usuario (200001) de la instancia, donde el número entre paréntesis es el ID de usuario. Si el cliente crea uno nuevo user/group dentro del contenedor, no tendrá privilegios en la instancia host, independientemente del ID. user/group El usuario raíz del contenedor también se asigna a un usuario sin privilegios de la instancia. Para obtener más información, consulte [Isolate containers with a user namespace](https://docs.docker.com/engine/security/userns-remap/).
**nota**
Puede parecer que los archivos creados por el usuario sagemaker-user son propiedad de sagemaker-studio (uid 65534). Este es un efecto secundario de un modo de creación rápida de aplicaciones, en el que las imágenes de los contenedores de SageMaker IA se extraen previamente, lo que permite que las aplicaciones se inicien en menos de un minuto. Si su aplicación requiere que el uid del propietario del archivo y el uid del propietario del proceso coincidan, pida al servicio de atención al cliente que elimine su número de cuenta de la característica de extracción previa de imágenes.
**Permisos de imagen personalizados**
Los clientes pueden traer sus propias SageMaker imágenes personalizadas. Estas imágenes pueden especificar una ejecución diferente user/group para iniciar la KernelGateway aplicación. El cliente puede implementar un control de permisos detallado dentro de la imagen, por ejemplo, para deshabilitar el acceso raíz o realizar otras acciones. En este caso, se aplica la misma reasignación de usuarios. Para obtener más información, consulte [Imágenes personalizadas en Amazon SageMaker Studio Classic](studio-byoi.md).
**Aislamiento de contenedores**
Docker mantiene una lista de las capacidades predeterminadas que puede usar el contenedor. SageMaker La IA no añade capacidades adicionales. SageMaker La IA añade reglas de ruta específicas para bloquear las solicitudes a Amazon EFS y al [servicio de metadatos de la instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service) (IMDS) desde el contenedor. Los clientes no pueden cambiar estas reglas de ruta desde el contenedor. Para obtener más información, consulte [Runtime privilege and Linux capabilities](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities).
**Acceso a los metadatos de la aplicación**
Los metadatos que utilizan las aplicaciones en ejecución se montan en el contenedor con un permiso de solo lectura. Los clientes no pueden modificar estos metadatos desde el contenedor. Para ver los metadatos disponibles, consulte [Obtenga metadatos de aplicaciones y cuadernos clásicos de Amazon SageMaker Studio](notebooks-run-and-manage-metadata.md).
**Aislamiento de usuarios en EFS**
Cuando te incorporas a Studio, SageMaker AI crea un volumen de Amazon Elastic File System (EFS) para tu dominio que comparten todos los usuarios de Studio del dominio. Cada usuario obtiene su propio directorio principal privado en el volumen EFS. Este directorio principal se usa para almacenar los cuadernos del usuario, los repositorios de Git y otros datos. Para evitar que otros usuarios del dominio accedan a los datos del usuario, SageMaker AI crea un ID de usuario único a nivel mundial para el perfil del usuario y lo aplica como un user/group ID POSIX para el directorio principal del usuario.
**Acceso a EBS**
Se asocia un volumen de Amazon Elastic Block Store (Amazon EBS) a la instancia host y se comparte en todas las imágenes. Se usa para el volumen raíz de los cuadernos y almacena los datos temporales que se generan dentro del contenedor. El almacenamiento no se conserva cuando se elimina la instancia en la que se ejecutan los cuadernos. El usuario raíz que se encuentra dentro del contenedor no puede acceder al volumen de EBS.
**Acceso a IMDS**
Por motivos de seguridad, el acceso al Servicio de metadatos de instancias (IMDS) de Amazon Elastic Compute Cloud (Amazon EC2) (IMDS) no está disponible en Studio. SageMaker Para obtener más información sobre IMDS, consulte [Metadatos de instancia y datos de usuario](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).
# Controle el acceso raíz a una instancia de notebook SageMaker
De forma predeterminada, cuando se crea una instancia del bloc de notas, los usuarios que inician sesión en dicha instancia disponen de acceso raíz. La ciencia de datos es un proceso iterativo en el que es posible que los científicos de datos necesiten probar y utilizar distintas herramientas y paquetes de software, por lo que es necesario que varios usuarios de la instancia del bloc de notas tengan acceso raíz para poder instalar estas herramientas y paquetes. Dado que los usuarios con acceso raíz tienen privilegios de administrador, pueden obtener acceso a todos los archivos de una instancia del bloc de notas que tenga habilitado el acceso raíz y editarlos.
Si no desea que los usuarios tengan acceso raíz a una instancia del bloc de notas, establezca el campo `RootAccess` en `Disabled` cuando llame a las operaciones [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) o [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html). También puedes inhabilitar el acceso root para los usuarios al crear o actualizar una instancia de notebook en la consola de Amazon SageMaker AI. Para obtener información, consulte [Crear una instancia de Amazon SageMaker Notebook para el tutorial](gs-setup-working-env.md).
**nota**
Las configuraciones de ciclo de vida necesitan acceso raíz para poder configurar una instancia del bloc de notas. Por este motivo, las configuraciones de ciclo de vida asociadas a una instancia del bloc de notas siempre se ejecutan con acceso raíz, incluso si se deshabilitado este para los usuarios.
**nota**
Por motivos de seguridad, se instala Docker sin raíz en las instancias de cuaderno con la raíz deshabilitada en lugar del Docker normal. Para obtener más información, consulte [Run the Docker daemon as a non-root user (Rootless mode)](https://docs.docker.com/engine/security/rootless/)
## Consideraciones de seguridad
Los scripts de configuración del ciclo de vida se ejecutan con acceso root y heredan todos los privilegios de la función de ejecución de IAM de la instancia de notebook. Cualquier persona (incluidos los administradores) que tenga permisos para crear o modificar las configuraciones del ciclo de vida y administrar las instancias del portátil puede ejecutar código con las credenciales de la función de ejecución. Por lo tanto, siga las prácticas recomendadas que se indican a continuación.
Prácticas recomendadas:
+ Restrinja el acceso administrativo: conceda permisos de configuración del ciclo de vida únicamente a administradores de confianza que entiendan las implicaciones de seguridad.
+ Aplique los principios del mínimo privilegio: defina las funciones de ejecución de las instancias de los equipos portátiles con solo los permisos mínimos necesarios para las cargas de trabajo legítimas.
+ Habilite la supervisión: revise CloudWatch los registros con regularidad para ver las ejecuciones de la configuración del ciclo de vida en un grupo de registros `/aws/sagemaker/NotebookInstances` para detectar actividades inesperadas.
+ Implemente controles de cambios: establezca procesos de aprobación para los cambios de configuración del ciclo de vida en los entornos de producción.
# Permisos de la API de Amazon SageMaker AI: referencia sobre acciones, permisos y recursos
Cuando configure el control de acceso y escriba una política de permisos que puede asociar a una identidad de IAM (una política basada en identidades), utilice la siguiente tabla como referencia. En la tabla se muestra cada operación de la API Amazon SageMaker AI, las acciones correspondientes para las que puede conceder permisos para realizar la acción y el AWS recurso para el que puede conceder los permisos. Las acciones se especifican en el campo `Action` de la política y el valor del recurso se especifica en el campo `Resource` de la política.
**nota**
Excepto para la API de `ListTags`, las restricciones de nivel de recursos no están disponibles en las llamadas a `List-`. Cualquier usuario que llame a una API de `List-` verá todos los recursos de ese tipo en la cuenta.
Para expresar las condiciones en tus políticas de Amazon SageMaker AI, puedes usar claves AWS de condición generales. Para obtener una lista completa de las claves AWS anchas, consulta las [claves disponibles](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html#AvailableKeys) en la Referencia de *autorización de servicio*.
**aviso**
Es posible que aún se pueda acceder a algunas acciones de la SageMaker API a través de`[Search API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html)`. Por ejemplo, si un usuario tiene una política de IAM que deniega los permisos para `Describe` llamar a un recurso de SageMaker IA concreto, ese usuario podrá seguir accediendo a la información de la descripción a través de la API de búsqueda. Para restringir completamente el acceso de los usuarios a las llamadas `Describe`, también debe restringir el acceso a la API de búsqueda. Para ver una lista de los recursos de SageMaker IA a los que se puede acceder a través de la API de búsqueda, consulta la [Referencia de AWS CLI comandos de SageMaker IA Search](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/search.html#options).
Utilice las barras de desplazamiento para ver el resto de la tabla.
Operaciones de la API Amazon SageMaker AI y permisos necesarios para las acciones
****
| Operaciones de la API de Amazon SageMaker AI | Permisos necesarios (acciones de la API) | Recursos |
| --- | --- | --- |
| `[ DeleteEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:DeleteEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ DeleteVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteVectorEnrichmentJob.html)` | `sagemaker-geospatial:DeleteVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ExportEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportEarthObservationJob.html)` | `sagemaker-geospatial:ExportEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ ExportVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportVectorEnrichmentJob.html)` | `sagemaker-geospatial:ExportVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ GetEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetEarthObservationJob.html)` | `sagemaker-geospatial:GetEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:GetRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ GetTile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetTile.html)` | `sagemaker-geospatial:GetTile` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetVectorEnrichmentJob.html)` | `sagemaker-geospatial:GetVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListEarthObservationJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListEarthObservationJobs.html)` | `sagemaker-geospatial:ListEarthObservationJobs` | `*` |
| `[ ListRasterDataCollections](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListRasterDataCollections.html)` | `sagemaker-geospatial:ListRasterDataCollections` | `*` |
| `[ ListTagsForResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListTagsForResource.html)` | `sagemaker-geospatial:ListTagsForResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListVectorEnrichmentJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListVectorEnrichmentJobs.html)` | `sagemaker-geospatial:ListVectorEnrichmentJobs` | `*` |
| `[ SearchRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_SearchRasterDataCollection.html)` | `sagemaker-geospatial:SearchRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ StartEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartEarthObservationJob.html)` | `sagemaker-geospatial:StartEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StartVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartVectorEnrichmentJob.html)` | `sagemaker-geospatial:StartVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ StopEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopEarthObservationJob.html)` | `sagemaker-geospatial:StopEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StopVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopVectorEnrichmentJob.html)` | `sagemaker-geospatial:StopVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ TagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_TagResource.html)` | `sagemaker-geospatial:TagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ UntagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_UntagResource.html)` | `sagemaker-geospatial:UntagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)` | `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:*` |
| `[ CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)` | `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| `[ CreateAppImageConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAppImageConfig.html)` | `sagemaker:CreateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| `[ CreateAutoMLJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html)` | `sagemaker:CreateAutoMLJob` `iam:PassRole` El siguiente permiso sólo es necesario si alguna de las `ResourceConfig`asociadas tiene un `VolumeKmsKeyId ` especificado y el rol asociado no tiene una política que permita esta acción. `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html) | `sagemaker:CreateAutoMLJobV2` `iam:PassRole` El siguiente permiso sólo es necesario si alguna de las `ResourceConfig`asociadas tiene un `VolumeKmsKeyId ` especificado y el rol asociado no tiene una política que permita esta acción. `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| `[ CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)` | `sagemaker:CreateDomain` `iam:CreateServiceLinkedRole` `iam:PassRole` Se requiere si se especifica una clave administrada por el cliente de KMS para `KmsKeyId`: `elasticfilesystem:CreateFileSystem` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKeyWithoutPlainText` Necesario para crear un dominio que admita RStudio: `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:domain/domain-id` |
| `[ CreateEndpoint](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpoint.html)` | `sagemaker:CreateEndpoint` `kms:CreateGrant` (solo es necesario si el `EndPointConfig` asociado dispone de un `KmsKeyId` especificado) | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html) | `sagemaker:CreateEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html) | `sagemaker:CreateFlowDefinition` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html) | `sagemaker:CreateHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html) | `sagemaker:CreateInferenceRecommendationsJob` `iam:PassRole` Los siguientes permisos solo son necesarios si especifica una clave de cifrado: `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` | `arn:aws:sagemaker:region:account-id:inference-recommendations-job/inferenceRecommendationsJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) | `sagemaker:CreateHyperParameterTuningJob` `iam:PassRole` El siguiente permiso sólo es necesario si alguna de las `ResourceConfig`asociadas tiene un `VolumeKmsKeyId ` especificado y el rol asociado no tiene una política que permita esta acción. `kms:CreateGrant` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html) | `sagemaker:CreateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html) | `sagemaker:CreateImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html) | Sagemaker: CreateLabelingJob objetivo: PassRole | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) | `sagemaker:CreateModel` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html) | `sagemaker:CreateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html) | `sagemaker:CreateModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) | `sagemaker:CreateNotebookInstance` `iam:PassRole` Los siguientes permisos solo son necesarios si especifica una VPC para su instancia con bloc de notas: `ec2:CreateNetworkInterface` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Los siguientes permisos solo son necesarios si especifica una clave de cifrado: `kms:DescribeKey` `kms:CreateGrant` El siguiente permiso solo es necesario si especifica un secreto de Secrets Manager de AWS para obtener acceso a un repositorio Git privado. `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html) | `sagemaker:CreatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html) | `sagemaker:CreatePresignedDomainUrl` | `arn:aws:sagemaker:region:account-id:app/domain-id/userProfileName`/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) | `sagemaker:CreatePresignedNotebookInstanceUrl` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) | `sagemaker:CreateProcessingJob` `iam:PassRole` `kms:CreateGrant` (solo es necesario si se ha especificado un `VolumeKmsKeyId` para el `ProcessingResources` asociado y el rol asociado no tiene una política que permita esta acción) `ec2:CreateNetworkInterface` (obligatorio solo si especifica una VPC) | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| `[ CreateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateSpace.html)` | `sagemaker:CreateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html) | `sagemaker:CreateStudioLifecycleConfig` | `arn:aws:sagemaker:region:account-id:studio-lifecycle-config/.*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) | `sagemaker:CreateTrainingJob` `iam:PassRole` `kms:CreateGrant` (solo es necesario si se ha especificado un `VolumeKmsKeyId` para el `ResourceConfig` asociado y el rol asociado no tiene una política que permita esta acción) | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html) | `sagemaker:CreateTrainingPlan` `sagemaker:CreateReservedCapacity` `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:training-plan/*"` `arn:aws:sagemaker:region:account-id:reserved-capacity/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html) | `sagemaker:CreateTransformJob` `kms:CreateGrant` (solo es necesario si se ha especificado un `VolumeKmsKeyId` para el `TransformResources` asociado y el rol asociado no tiene una política que permita esta acción) | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) | `sagemaker:CreateUserProfile` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) | `sagemaker:CreateWorkforce` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | arn:aws:sagemaker:region:account-id:workforce/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html) | `sagemaker:CreateWorkteam` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/work team name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html) | `sagemaker:DeleteApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html) | `sagemaker:DeleteAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html) | `sagemaker:DeleteDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html) | `sagemaker:DeleteEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html) | `sagemaker:DeleteEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html) | `sagemaker:DeleteFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DeleteHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DeleteHumanLoop.html)` | `sagemaker:DeleteHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html) | `sagemaker:DeleteImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html) | `sagemaker:DeleteImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html) | `sagemaker:DeleteModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html) | `sagemaker:DeleteModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html) | `sagemaker:DeleteModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html) | `sagemaker:DeleteModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html) | `sagemaker:DeleteNotebookInstance` El siguiente permiso solo es necesario si ha especificado una VPC para su instancia con bloc de notas: `ec2:DeleteNetworkInterface` Los siguientes permisos solo son necesarios si ha especificado una clave de cifrado al crear la instancia con bloc de notas: `kms:DescribeKey` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html) | `sagemaker:DeletePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[DeleteSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteSpace.html)` | `sagemaker:DeleteSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html) | `sagemaker:DeleteTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html) | `sagemaker:DeleteUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) | `sagemaker:DeleteWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html) | `sagemaker:DeleteWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html) | `sagemaker:DescribeApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html) | `sagemaker:DescribeAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html) | `sagemaker:DescribeAutoMLJob` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html) | `sagemaker:DescribeAutoMLJobV2` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html) | `sagemaker:DescribeDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html) | `sagemaker:DescribeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html) | `sagemaker:DescribeEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html) | `sagemaker:DescribeFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DescribeHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DescribeHumanLoop.html)` | `sagemaker:DescribeHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html) | `sagemaker:DescribeHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html) | `sagemaker:DescribeHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html) | `sagemaker:DescribeImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html) | `sagemaker:DescribeImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html) | `sagemaker:DescribeLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html) | `sagemaker:DescribeModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html) | `sagemaker:DescribeModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html) | `sagemaker:DescribeModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) | `sagemaker:DescribeNotebookInstance ` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html) | `sagemaker:DescribePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html) | `sagemaker:DescribePipelineDefinitionForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html) | `sagemaker:DescribePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html) | `sagemaker:DescribeProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingjobname` |
| `[DescribeSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSpace.html)` | `sagemaker:DescribeSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html) | `sagemaker:DescribeSubscribedWorkteam` `aws-marketplace:ViewSubscriptions` | `arn:aws:sagemaker:region:account-id:workteam/vendor-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html) | `sagemaker:DescribeTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html) | `sagemaker:DescribeTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html) | `sagemaker:DescribeUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) | `sagemaker:DescribeWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html) | `sagemaker:DescribeWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html) | `sagemaker:GetModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html) | `sagemaker:InvokeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html) | `sagemaker:ListAppImageConfigs` | `arn:aws:sagemaker:region:account-id:app-image-config/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html) | `sagemaker:ListApps` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html) | `sagemaker:ListDomains` | `arn:aws:sagemaker:region:account-id:domain/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html) | `sagemaker:ListEndpointConfigs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html) | `sagemaker:ListEndpoints` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html) | `sagemaker:ListFlowDefinitions` | `*` |
| `[ListHumanLoops](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_ListHumanLoops.html)` | `sagemaker:ListHumanLoops` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html) | `sagemaker:ListHumanTaskUis` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html) | `sagemaker:ListHyperParameterTuningJobs` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html) | `sagemaker:ListImages` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html) | `sagemaker:ListImageVersions` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html) | `sagemaker:ListLabelingJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html) | `sagemaker:ListLabelingJobForWorkteam` | `*` |
| `[ ListModelPackageGroups](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackageGroups.html)` | `sagemaker:ListModelPackageGroups` | `arn:aws:sagemaker:region:account-id :model-package-group/ModelPackageGroupName` |
| `[ ListModelPackages](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackages.html)` | `sagemaker:ListModelPackages` | `arn:aws:sagemaker:region:account-id :model-package/ModelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html) | `sagemaker:ListModels` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html) | `sagemaker:ListNotebookInstances` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html) | `sagemaker:ListPipelineExecutions` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html) | `sagemaker:ListPipelineExecutionSteps` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html) | `sagemaker:ListPipelineParametersForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html) | `sagemaker:ListPipelines` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html) | `sagemaker:ListProcessingJobs` | `*` |
| `[ListSpaces](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSpaces.html)` | `sagemaker:ListSpaces` | `arn:aws:sagemaker:region:account-id:space/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html) | `sagemaker:ListSubscribedWorkteams` `aws-marketplace:ViewSubscriptions` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html) | `sagemaker:ListTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html) | `sagemaker:ListTrainingJobs` | `*` |
| `[ ListTrainingJobsForHyperParameterTuningJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobsForHyperParameterTuningJob.html)` | `sagemaker:ListTrainingJobsForHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html) | `sagemaker:ListTransformJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html) | `sagemaker:ListUserProfiles` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html) | `sagemaker:ListWorkforces` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html) | `sagemaker:ListWorkteams` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html) | `sagemaker:PutModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html) | `sagemaker:RetryPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) | `sagemaker:Search` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html) | `sagemaker:SendPipelineExecutionStepFailure` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html) | `sagemaker:SendPipelineExecutionStepSuccess` | `*` |
| `[StartHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StartHumanLoop.html)` | `sagemaker:StartHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html) | `sagemaker:StartNotebookInstance` Los siguientes permisos solo son necesarios si ha especificado una VPC al crear su instancia con bloc de notas: `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Los siguientes permisos solo son necesarios si ha especificado una clave de cifrado al crear la instancia con bloc de notas: `kms:DescribeKey` `kms:CreateGrant` El siguiente permiso solo es necesario si ha especificado un secreto de Secrets Manager de AWS para obtener acceso a un repositorio Git privado al crear la instancia con bloc de notas: `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html) | `sagemaker:StartPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[StopHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StopHumanLoop.html)` | `sagemaker:StopHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html) | `sagemaker:StopHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html) | `sagemaker:StopLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html) | `sagemaker:StopNotebookInstance` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html) | `sagemaker:StopPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html) | `sagemaker:StopProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html) | `sagemaker:StopTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html) | `sagemaker:StopTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html) | `sagemaker:UpdateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) | `sagemaker:UpdateDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html) | `sagemaker:UpdateEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html) | `sagemaker:UpdateEndpointWeightsAndCapacities` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) | `sagemaker:UpdateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html) | `sagemaker:UpdateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html) | `sagemaker:UpdateNotebookInstance` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html) | `sagemaker:UpdatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html) | `sagemaker:UpdatePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| `[UpdateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateSpace.html)` | `sagemaker:UpdateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html) | `sagemaker:UpdateUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) | `sagemaker:UpdateWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) | `sagemaker:UpdateWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
# AWS políticas gestionadas para Amazon SageMaker AI
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) a las que se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
**importante**
Se recomienda utilizar la política más restringida que le permita llevar a cabo su caso de uso.
Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios de su cuenta, son específicas de Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Otorga acceso completo a los recursos geoespaciales de Amazon SageMaker SageMaker AI y AI y a las operaciones compatibles. No proporciona acceso ilimitado a Amazon S3, pero admite buckets y objetos con etiquetas de `sagemaker` específicas. Esta política permite transferir todas las funciones de IAM a Amazon SageMaker AI, pero solo permite que las funciones de IAM que contengan AmazonSageMaker «» se transfieran a los AWS Glue servicios AWS Step Functions y AWS RoboMaker .
+ **`AmazonSageMakerReadOnly`**— Otorga acceso de solo lectura a los recursos de Amazon SageMaker AI.
Las siguientes políticas AWS gestionadas se pueden adjuntar a los usuarios de su cuenta, pero no se recomiendan:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator): concede todas las acciones para todos los servicios de AWS y para todos los recursos en la cuenta.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist): concede una amplia gama de permisos para cubrir la mayoría de los casos de uso (principalmente para la inteligencia empresarial y el análisis) que detectan los analizadores de datos.
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y búsquelas.
También puedes crear tus propias políticas de IAM personalizadas para permitir permisos para las acciones y los recursos de Amazon SageMaker AI cuando los necesites. Puede asociar estas políticas personalizadas a los usuarios o grupos de que las requieran.
**Topics**
+ [AWS política gestionada: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS política gestionada: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS políticas gestionadas para Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS políticas gestionadas para Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS políticas gestionadas para Amazon SageMaker geospatial](security-iam-awsmanpol-geospatial.md)
+ [AWS Políticas gestionadas para Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS políticas gestionadas para Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Políticas gestionadas para la gobernanza de los modelos de SageMaker IA](security-iam-awsmanpol-governance.md)
+ [AWS Políticas gestionadas para el registro de modelos](security-iam-awsmanpol-model-registry.md)
+ [AWS Políticas gestionadas para SageMaker ordenadores portátiles](security-iam-awsmanpol-notebooks.md)
+ [AWS políticas gestionadas para Amazon SageMaker Partner AI Apps](security-iam-awsmanpol-partner-apps.md)
+ [AWS Políticas gestionadas para SageMaker oleoductos](security-iam-awsmanpol-pipelines.md)
+ [AWS políticas gestionadas para planes SageMaker de formación](security-iam-awsmanpol-training-plan.md)
+ [AWS Políticas gestionadas para SageMaker proyectos y JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker Actualizaciones de IA de las políticas AWS gestionadas](#security-iam-awsmanpol-updates)
## AWS política gestionada: AmazonSageMakerFullAccess
Esta política otorga permisos administrativos que permiten a los principales acceder plenamente a todos los recursos y operaciones geoespaciales de Amazon SageMaker SageMaker AI y AI. La política también brinda acceso selecto a los servicios relacionados. Esta política permite transferir todas las funciones de IAM a Amazon SageMaker AI, pero solo permite que las funciones de IAM que contengan AmazonSageMaker «» se transfieran a los AWS Glue servicios AWS Step Functions y AWS RoboMaker . Esta política no incluye los permisos para crear un dominio de Amazon SageMaker AI. Para obtener información sobre la política necesaria para crear un dominio, consulte [Complete los requisitos previos de Amazon SageMaker AI](gs-set-up.md).
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `application-autoscaling`— Permite a los directores escalar automáticamente un punto final de inferencia de SageMaker IA en tiempo real.
+ `athena`— Permite a los directores consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde. Amazon Athena
+ `aws-marketplace`— Permite a los directores ver las suscripciones de AWS AI Marketplace. Lo necesitas si quieres acceder al software de SageMaker IA al que estás suscrito. AWS Marketplace
+ `cloudformation`— Permite a los directores obtener AWS CloudFormation plantillas para usar JumpStart soluciones y canalizaciones de SageMaker IA. SageMaker La IA JumpStart crea los recursos necesarios para ejecutar soluciones end-to-end de aprendizaje automático que vinculan la SageMaker IA a otros AWS servicios. SageMaker AI Pipelines crea nuevos proyectos respaldados por Service Catalog.
+ `cloudwatch`— Permite a los directores publicar CloudWatch métricas, interactuar con las alarmas y cargar registros en los registros de su cuenta. CloudWatch
+ `codebuild`— Permite a los directores almacenar AWS CodeBuild artefactos para proyectos y proyectos de SageMaker IA.
+ `codecommit`— Necesario para AWS CodeCommit la integración con instancias de cuadernos de SageMaker IA.
+ `cognito-idp`— Necesario para que Amazon SageMaker Ground Truth defina la fuerza laboral privada y los equipos de trabajo.
+ `ec2`— Necesario para que la SageMaker IA gestione los recursos y las interfaces de red de Amazon EC2 al especificar una Amazon VPC para sus trabajos, modelos, puntos de conexión e instancias de notebook de SageMaker IA.
+ `ecr`— Necesario para extraer y almacenar artefactos de Docker para Amazon SageMaker Studio Classic (imágenes personalizadas), entrenamiento, procesamiento, inferencia por lotes y puntos finales de inferencia. Esto también es necesario para usar tu propio contenedor en IA. SageMaker Se requieren permisos adicionales para JumpStart las soluciones de SageMaker IA para crear y eliminar imágenes personalizadas en nombre de los usuarios.
+ `elasticfilesystem`: permite a las entidades principales acceder a Amazon Elastic File System. Esto es necesario para que la SageMaker IA utilice las fuentes de datos de Amazon Elastic File System para entrenar modelos de aprendizaje automático.
+ `fsx`— Permite a los directores acceder a Amazon FSx. Esto es necesario para que la SageMaker IA utilice las fuentes de datos de Amazon FSx para entrenar modelos de aprendizaje automático.
+ `glue`— Necesario para el procesamiento previo del proceso de inferencia desde instancias de cuadernos de SageMaker IA.
+ `groundtruthlabeling`: se requiere para los trabajos de etiquetado de Ground Truth. Se accede al punto de conexión `groundtruthlabeling` mediante la consola de Ground Truth.
+ `iam`— Necesario para permitir a la consola de SageMaker IA acceder a las funciones de IAM disponibles y crear funciones vinculadas a servicios.
+ `kms`— Necesario para permitir a la consola de SageMaker IA acceder a AWS KMS las claves disponibles y recuperarlas para cualquier AWS KMS alias específico en las tareas y los puntos finales.
+ `lambda`: permite a las entidades principales invocar y obtener una lista de funciones de AWS Lambda .
+ `logs`— Necesario para permitir que los trabajos y puntos finales de SageMaker IA publiquen flujos de registro.
+ `redshift`: permite a las entidades principales acceder a las credenciales del clúster de Amazon Redshift.
+ `redshift-data`: permite a las entidades principales utilizar los datos de Amazon Redshift para ejecutar, describir y cancelar instrucciones; obtener los resultados de instrucciones; y enumerar esquemas y tablas.
+ `robomaker`— Permite a los directores tener acceso completo para crear, obtener descripciones y eliminar aplicaciones y trabajos de AWS RoboMaker simulación. También se requiere para ejecutar ejemplos de aprendizaje por refuerzo en instancias de cuadernos.
+ `s3, s3express`— Permite a los directores tener acceso completo a los recursos de Amazon S3 y Amazon S3 Express relacionados con la SageMaker IA, pero no a todos los de Amazon S3 o Amazon S3 Express.
+ `sagemaker`— Permite a los directores enumerar etiquetas en los perfiles de usuario de SageMaker IA y añadir etiquetas a aplicaciones y espacios de SageMaker IA. Solo permite el acceso a las definiciones de sagemaker relacionadas con el flujo de SageMaker IA: WorkteamType «private-crowd» o «vendor-crowd». Permite utilizar y describir los planes de formación en SageMaker IA y la capacidad reservada en tareas de formación y SageMaker HyperPod agrupaciones en todas las AWS regiones en las que se pueda acceder a la función de planes de SageMaker formación.
+ `sagemaker`y`sagemaker-geospatial`: permite a los directores acceder de solo lectura a los dominios y perfiles de usuario de la SageMaker IA.
+ `secretsmanager`: permite a las entidades principales obtener acceso completo a AWS Secrets Manager. Las entidades principales le ayudan a cifrar, almacenar y recuperar de forma segura las credenciales de las bases de datos y otros servicios. Esto también es necesario para las instancias de cuadernos de SageMaker IA con los repositorios de código de SageMaker IA que utilizan. GitHub
+ `servicecatalog`: permite a las entidades principales utilizar Service Catalog. Los directores pueden crear, obtener una lista, actualizar o cancelar los productos aprovisionados, como servidores, bases de datos, sitios web o aplicaciones desplegados mediante recursos. AWS Esto es necesario para que SageMaker AI JumpStart y Projects encuentren y lean los productos del catálogo de servicios y ofrezcan AWS recursos a los usuarios.
+ `sns`: permite a las entidades principales consultar una lista de temas de Amazon SNS. Se requiere para los puntos de conexión con inferencia asíncrona habilitada para notificar a los usuarios que su inferencia se ha completado.
+ `states`— Es necesario para que SageMaker AI JumpStart y Pipelines utilicen un catálogo de servicios para crear recursos de funciones escalonadas.
+ `tag`— Necesario para que SageMaker AI Pipelines se renderice en Studio Classic. Studio Classic requiere que los recursos estén etiquetados con una clave de etiqueta `sagemaker:project-id` determinada. Esto requiere el permiso `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerReadOnly
Esta política otorga acceso de solo lectura a Amazon SageMaker AI a través del SDK Consola de administración de AWS y.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `application-autoscaling`— Permite a los usuarios consultar las descripciones de los puntos finales de inferencia escalables de la SageMaker IA en tiempo real.
+ `aws-marketplace`— Permite a los usuarios ver las suscripciones de AWS AI Marketplace.
+ `cloudwatch`— Permite a los usuarios recibir CloudWatch alarmas.
+ `cognito-idp`— Necesario para que Amazon SageMaker Ground Truth explore las descripciones y listas de personal y equipos de trabajo privados.
+ `ecr`: se requiere para leer artefactos de Docker para el entrenamiento y la inferencia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS políticas gestionadas para Amazon SageMaker Canvas
Estas políticas AWS gestionadas añaden los permisos necesarios para usar Amazon SageMaker Canvas. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS política administrada: AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS política gestionada: Acceso AmazonSageMakerCanvas AIServices](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS política gestionada: AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS política gestionada: AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS política gestionada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS política gestionada: AmazonSageMakerCanvas SMData ScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de Amazon SageMaker Canvas](#security-iam-awsmanpol-canvas-updates)
## AWS política gestionada: AmazonSageMakerCanvasFullAccess
Esta política otorga permisos que permiten el acceso total a Amazon SageMaker Canvas a través del SDK Consola de administración de AWS y. La política también proporciona acceso selecto a servicios relacionados [por ejemplo, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry y AWS Secrets Manager Amazon Forecast SageMaker Amazon SageMaker ].
El objetivo de esta política es ayudar a los clientes a experimentar y empezar a utilizar todas las funciones de Canvas. SageMaker Para obtener un control más detallado, se sugiere a los clientes que creen sus propias versiones reducidas a medida que pasen a las cargas de trabajo de producción. Para obtener más información, consulte [IAM policy types: How and when to use them](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/).
**Detalles de los permisos**
Esta política AWS administrada incluye los siguientes permisos.
+ `sagemaker`— Permite a los directores crear y alojar modelos de SageMaker IA en recursos cuyo ARN contenga «Canvas», «canvas» o «model-compilation-». Además, los usuarios pueden registrar su modelo SageMaker Canvas en SageMaker AI Model Registry en la misma cuenta. AWS También permite a los directores crear y gestionar trabajos de SageMaker formación, transformación y AutomL.
+ `application-autoscaling`— Permite a los directores escalar automáticamente un punto final de inferencia de SageMaker IA.
+ `athena`: permite a las entidades principales consultar una lista de catálogos de datos, bases de datos y metadatos de tablas de Amazon Athena, y acceder a las tablas de los catálogos.
+ `cloudwatch`— Permite a los directores crear y gestionar las CloudWatch alarmas de Amazon.
+ `ec2`: permite a las entidades principales crear puntos de conexión de Amazon VPC.
+ `ecr`: permite a las entidades principales obtener información acerca de la imagen de un contenedor.
+ `emr-serverless`: permite a las entidades principales crear y administrar aplicaciones y ejecuciones de trabajo de Amazon EMR sin servidor. También permite a los directores etiquetar los recursos de SageMaker Canvas.
+ `forecast`: permite a las entidades principales utilizar Amazon Forecast.
+ `glue`— Permite a los directores recuperar las tablas, bases de datos y particiones del AWS Glue catálogo.
+ `iam`— Permite a los directores transferir una función de IAM a Amazon SageMaker AI, Amazon Forecast y Amazon EMR Serverless. También permite a las entidades principales crear un rol vinculado a un servicio.
+ `kms`— Permite a los directores leer una AWS KMS clave etiquetada con. `Source:SageMakerCanvas`
+ `logs`: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión.
+ `quicksight`— Permite a los directores enumerar los espacios de nombres de la cuenta Quick.
+ `rds`: permite a las entidades principales devolver información sobre instancias aprovisionadas de Amazon RDS.
+ `redshift`: permite a las entidades principales obtener credenciales para un dbuser “sagemaker\$1access\$1” en cualquier clúster de Amazon Redshift, si ese usuario existe.
+ `redshift-data`: permite a las entidades principales ejecutar consultas en Amazon Redshift mediante la API de datos de Amazon Redshift. Esto solo proporciona acceso a los datos de Redshift en APIs sí mismos y no proporciona acceso directo a los clústeres de Amazon Redshift. Para obtener más información, consulte [Uso de la API de datos de Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker». También permite a los directores recuperar objetos de los buckets de Amazon S3 cuyo ARN comience por «jumpstart-cache-prod-» en regiones específicas.
+ `secretsmanager`: permite a las entidades principales almacenar las credenciales de los clientes para conectarse a una base de datos de Snowflake mediante Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política administrada: AmazonSageMakerCanvasDataPrepFullAccess
Esta política otorga permisos que permiten el acceso total a la funcionalidad de preparación de datos de Amazon SageMaker Canvas. La política también proporciona permisos con privilegios mínimos para los servicios que se integran con la funcionalidad de preparación de datos [por ejemplo, Amazon Simple Storage Service (Amazon S3) AWS Identity and Access Management , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () y]. AWS Key Management Service AWS KMS AWS Secrets Manager
**Detalles de los permisos**
Esta política AWS administrada incluye los siguientes permisos.
+ `sagemaker`: permite a las entidades principales acceder a los trabajos de procesamiento, los trabajos de entrenamiento, las canalizaciones de inferencia, los trabajos de AutoML y los grupo de características.
+ `athena`: permite a las entidades principales consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde Amazon Athena.
+ `elasticmapreduce`: permite a las entidades principales leer y enumerar los clústeres de Amazon EMR.
+ `emr-serverless`: permite a las entidades principales crear y administrar aplicaciones y ejecuciones de trabajo de Amazon EMR sin servidor. También permite a los directores etiquetar los recursos de SageMaker Canvas.
+ `events`— Permite a los directores crear, leer, actualizar y añadir objetivos a EventBridge las reglas de Amazon para los trabajos programados.
+ `glue`— Permite a los directores obtener y buscar tablas en las bases de datos del catálogo. AWS Glue
+ `iam`— Permite a los directores transferir una función de IAM a Amazon SageMaker AI y Amazon EMR Serverless. EventBridge También permite a las entidades principales crear un rol vinculado a un servicio.
+ `kms`— Permite a los directores recuperar los AWS KMS alias almacenados en los trabajos y puntos de conexión y acceder a la clave KMS asociada.
+ `logs`: permite a las entidades principales publicar registros de los trabajos de entrenamiento y los puntos de conexión.
+ `redshift`: permite a las entidades principales obtener las credenciales para acceder a una base de datos de Amazon Redshift.
+ `redshift-data`: permite a las entidades principales ejecutar, cancelar, describir, enumerar y obtener los resultados de las consultas de Amazon Redshift. También permite a las entidades principales enumerar los esquemas y tablas de Amazon Redshift.
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker», o estén etiquetados con «», sin distinguir mayúsculas de minúsculas. SageMaker
+ `secretsmanager`: permite a las entidades principales almacenar y recuperar las credenciales de la base de datos de clientes mediante Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política gestionada: AmazonSageMakerCanvasDirectDeployAccess
Esta política concede los permisos necesarios para que Amazon SageMaker Canvas cree y gestione los puntos de enlace de Amazon SageMaker AI.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `sagemaker`— Permite a los directores crear y gestionar puntos finales de SageMaker IA con un nombre de recurso ARN que comience por «Canvas» o «canvas».
+ `cloudwatch`— Permite a los directores recuperar los datos CloudWatch métricos de Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: Acceso AmazonSageMakerCanvas AIServices
Esta política otorga permisos a Amazon SageMaker Canvas para usar Amazon Textract, Amazon Rekognition, Amazon Comprehend y Amazon Bedrock.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `textract`: permite a las entidades principales utilizar Amazon Textract para detectar documentos, gastos e identidades dentro de una imagen.
+ `rekognition`: permite a las entidades principales utilizar Amazon Rekognition para detectar etiquetas y texto dentro de una imagen.
+ `comprehend`: permite a las entidades principales utilizar Amazon Comprehend para detectar sentimientos y el lenguaje dominante, así como entidades con nombre e información de identificación personal (PII) en un documento de texto.
+ `bedrock`: permite a las entidades principales utilizar Amazon Bedrock para enumerar e invocar modelos básicos.
+ `iam`: permite a las entidades principales pasar un rol de IAM a Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS política gestionada: AmazonSageMakerCanvasBedrockAccess
Esta política concede los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Bedrock.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales añadir y recuperar objetos de buckets de Amazon S3 en el directorio sagemaker-\$1/Canvas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerCanvasForecastAccess
Esta política concede los permisos que normalmente se necesitan para usar Amazon SageMaker Canvas con Amazon Forecast.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre comience por “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Esta política concede permisos a Amazon EMR Serverless para AWS servicios, como Amazon S3, que Amazon SageMaker Canvas utiliza para el procesamiento de datos de gran tamaño.
**Detalles de los permisos**
Esta política AWS administrada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos están limitados a aquellos cuyo nombre incluya «» o SageMaker «sagemaker», o que estén etiquetados con SageMaker «», sin distinguir mayúsculas y minúsculas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Esta política otorga permisos a los usuarios de Amazon SageMaker Canvas para iniciar conversaciones con Amazon Q Developer. Esta función requiere permisos tanto para Amazon Q Developer como para el servicio SageMaker AI Data Science Assistant.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `q`: permite a las entidades principales enviar peticiones a Amazon Q Developer.
+ `sagemaker-data-science-assistant`— Permite a los directores enviar mensajes al servicio SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de Amazon SageMaker Canvas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas de SageMaker Canvas desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess): actualización de una política existente | 2 | Se agregó el permiso `q:StartConversation`. | 14 de enero de 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess): política nueva | 1 | Política inicial | 4 de diciembre de 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess): actualización de una política existente | 4 | Se ha añadido un recurso al permiso `IAMPassOperationForEMRServerless`. | 16 de agosto de 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess): actualización de una política existente | 11 | Se ha añadido un recurso al permiso `IAMPassOperationForEMRServerless`. | 15 de agosto de 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy): política nueva | 1 | Política inicial | 26 de julio de 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente | 3 | Se han añadido los permisos `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` y `emr-serverless:TagResource`. | 18 de julio de 2024 |
| AmazonSageMakerCanvasFullAccess - Actualización de una política existente | 10 | Se han añadido los permisos `application-autoscaling:DescribeScalingActivities` `iam:PassRole`, `kms:DescribeKey` y `quicksight:ListNamespaces`. Se han añadido los permisos `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` y `sagemaker:StopTransformJob`. Se agregaron los permisos `athena:ListTableMetadata`, `athena:ListDataCatalogs` y `athena:ListDatabases`. Se agregaron los permisos `glue:GetDatabases`, `glue:GetPartitions` y `glue:GetTables`. Se han añadido los permisos `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` y `emr-serverless:TagResource`. | 9 de julio de 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess): política nueva | 1 | Política inicial | 2 de febrero de 2024 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 9 | Se agregó el permiso `sagemaker:ListEndpoints`. | 24 de enero de 2024 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 8 | Se han añadido los permisos `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` y`iam:CreateServiceLinkedRole`. | 8 de diciembre de 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess: actualización de una política existente | 2 | Pequeña actualización para aplicar los objetivos de la política anterior, versión 1; no se han añadido ni eliminado permisos. | 7 de diciembre de 2023 |
| [AmazonSageMakerCanvasAIServicesAcceso](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess): actualización de una política existente | 3 | Se han añadido los permisos `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` y `iam:PassRole`. | 29 de noviembre de 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Nueva política | 1 | Política inicial | 26 de octubre de 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess): política nueva | 1 | Política inicial | 6 de octubre de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 7 | Se agregaron los permisos `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel` y `sagemaker:InvokeEndpoint`. Añada también `s3:GetObject` permisos para JumpStart recursos en regiones específicas. | 29 de septiembre de 2023 |
| AmazonSageMakerCanvasAIServicesAcceso: actualización a una política existente | 2 | Se agregaron los permisos `bedrock:InvokeModel` y `bedrock:ListFoundationModels`. | 29 de septiembre de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 6 | Se agregó el permiso `rds:DescribeDBInstances`. | 29 de agosto de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 5 | Se agregaron los permisos `application-autoscaling:PutScalingPolicy` y `application-autoscaling:RegisterScalableTarget`. | 24 de julio de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 4 | Se agregaron los permisos `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages` y `sagemaker:ListModelPackageGroups`. | 4 de mayo de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 3 | Se agregaron los permisos `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` y `glue:SearchTables`. | 24 de marzo de 2023 |
| AmazonSageMakerCanvasAIServicesAcceso: nueva política | 1 | Política inicial | 23 de marzo de 2023 |
| AmazonSageMakerCanvasFullAccess - Actualización a una política existente | 2 | Se agregó el permiso `forecast:DeleteResourceTree`. | 6 de diciembre de 2022 |
| AmazonSageMakerCanvasFullAccess - Nueva política | 1 | Política inicial | 8 de septiembre de 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess): política nueva | 1 | Política inicial | 24 de agosto de 2022 |
# AWS políticas gestionadas para Amazon SageMaker Feature Store
Estas políticas AWS gestionadas añaden los permisos necesarios para usar Feature Store. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas SageMaker de Amazon Feature Store](#security-iam-awsmanpol-feature-store-updates)
## AWS política gestionada: AmazonSageMakerFeatureStoreAccess
Esta política concede los permisos necesarios para habilitar la tienda offline para un grupo de funciones de Amazon SageMaker Feature Store.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales escribir datos en un bucket de Amazon S3 de un almacenamiento sin conexión. Estos depósitos están limitados a aquellos cuyo nombre incluya «», SageMaker «Sagemaker» o «sagemaker».
+ `s3`: permite a las entidades principales leer los archivos de manifiesto existentes que se encuentran en la carpeta `metadata` de un bucket de S3 de un almacenamiento sin conexión.
+ `glue`— Permite a los directores leer y actualizar las tablas de AWS Glue. Estos permisos se limitan a las tablas de la carpeta `sagemaker_featurestore`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas SageMaker de Amazon Feature Store
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Feature Store desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker AI.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess): actualización de una política existente | 3 | Se agregaron los permisos `s3:GetObject`, `glue:GetTable` y `glue:UpdateTable`. | 5 de diciembre de 2022 |
| AmazonSageMakerFeatureStoreAccess - Actualización de una política existente | 2 | Se agregó el permiso `s3:PutObjectAcl`. | 23 de febrero de 2021 |
| AmazonSageMakerFeatureStoreAccess - Nueva política | 1 | Política inicial | 1 de diciembre de 2020 |
# AWS políticas gestionadas para Amazon SageMaker geospatial
Estas políticas AWS gestionadas añaden los permisos necesarios para utilizar la tecnología SageMaker geoespacial. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS política gestionada: AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Amazon SageMaker AI actualiza las políticas gestionadas SageMaker geoespaciales de Amazon](#security-iam-awsmanpol-geospatial-updates)
## AWS política gestionada: AmazonSageMakerGeospatialFullAccess
Esta política concede permisos que permiten el acceso total a Amazon SageMaker Geospatial a través del Consola de administración de AWS SDK.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `sagemaker-geospatial`— Permite a los directores el acceso total a todos los recursos SageMaker geoespaciales.
+ `iam`— Permite a los directores transferir una función de IAM a la tecnología geoespacial. SageMaker
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerGeospatialExecutionRole
Esta política otorga los permisos que normalmente se necesitan para usar la tecnología SageMaker geoespacial.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre contenga SageMaker «», «Sagemaker» o «sagemaker».
+ `sagemaker-geospatial`: permite a las entidades principales acceder a los trabajos de observación de la Tierra a través de la API `GetEarthObservationJob`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas SageMaker geoespaciales de Amazon
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas para el SageMaker sector geoespacial desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole): política actualizada | 2 | Se agregó el permiso `sagemaker-geospatial:GetRasterDataCollection`. | 10 de mayo de 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess): política nueva | 1 | Política inicial | 30 de noviembre de 2022 |
| AmazonSageMakerGeospatialExecutionRole - Nueva política | 1 | Política inicial | 30 de noviembre de 2022 |
# AWS Políticas gestionadas para Amazon SageMaker Ground Truth
Estas políticas AWS gestionadas añaden los permisos necesarios para usar SageMaker AI Ground Truth. Las políticas están disponibles en tu AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Ground Truth](#security-iam-awsmanpol-groundtruth-updates)
## AWS política gestionada: AmazonSageMakerGroundTruthExecution
Esta política AWS gestionada concede los permisos que normalmente se necesitan para usar SageMaker AI Ground Truth.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `lambda`— Permite a los directores invocar funciones Lambda cuyo nombre incluya «sagemaker» (que no distingue entre mayúsculas y minúsculas), «» o "». GtRecipe LabelingFunction
+ `s3`: permite a las entidades principales agregar y recuperar objetos de buckets de Amazon S3. Estos objetos se limitan a aquellos cuyo nombre, que no distingue entre mayúsculas y minúsculas, contenga «groundtruth» o «sagemaker», o que estén etiquetados con «». SageMaker
+ `cloudwatch`— Permite a los directores publicar métricas. CloudWatch
+ `logs`: permite a las entidades principales crear y acceder a flujos de registro y publicar eventos de registro.
+ `sqs`: permite a las entidades principales crear colas de Amazon SQS y enviar y recibir mensajes de Amazon SQS. Estos permisos se limitan a las colas cuyo nombre incluya «»GroundTruth.
+ `sns`: permite a las entidades principales suscribirse y publicar mensajes en temas de Amazon SNS cuyo nombre, sin distinción entre mayúsculas y minúsculas, contenga “groundtruth” o “sagemaker”.
+ `ec2`— Permite a los directores crear, describir y eliminar puntos de enlace de Amazon VPC cuyo nombre de servicio de punto de enlace de VPC sagemaker-task-resources contenga «» o «etiquetado».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Ground Truth
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI Ground Truth desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution): actualización de una política existente | 3 | Se agregaron los permisos `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` y `ec2:DeleteVpcEndpoints`. | 29 de abril de 2022 |
| AmazonSageMakerGroundTruthExecution - Actualización de una política existente | 2 | Se eliminó el permiso `sqs:SendMessageBatch`. | 11 de abril de 2022 |
| AmazonSageMakerGroundTruthExecution - Nueva política | 1 | Política inicial | 20 de julio de 2020 |
# AWS políticas gestionadas para Amazon SageMaker HyperPod
Las siguientes políticas AWS gestionadas añaden los permisos necesarios para usar Amazon SageMaker HyperPod. Las políticas están disponibles en tu AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA o el rol HyperPod vinculado al servicio.
**Topics**
+ [AWS política gestionada: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS política gestionada: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS política gestionada: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS política gestionada: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Amazon SageMaker AI actualiza las políticas SageMaker HyperPod gestionadas](#security-iam-awsmanpol-hyperpod-updates)
# AWS política gestionada: AmazonSageMakerHyperPodTrainingOperatorAccess
Esta política proporciona los permisos administrativos necesarios para configurar el operador de SageMaker HyperPod formación. Permite el acceso a SageMaker HyperPod los complementos de Amazon EKS. La política incluye permisos para describir los SageMaker HyperPod recursos de su cuenta.
**Detalles del permiso**
Esta política incluye los permisos siguientes:
+ `sagemaker:DescribeClusterNode`- Permite a los usuarios devolver información sobre un HyperPod clúster.
Para ver los permisos de esta política, consulte [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)la Referencia de políticas AWS gestionadas.
# AWS política gestionada: AmazonSageMakerHyperPodObservabilityAdminAccess
Esta política proporciona los privilegios administrativos necesarios para configurar la SageMaker HyperPod observabilidad de Amazon. Permite acceder a los complementos de Amazon Managed Service para Prometheus, Amazon Managed Grafana y Amazon Elastic Kubernetes Service. La política también incluye un amplio acceso a Grafana HTTP a APIs ServiceAccountTokens través de todos los espacios de trabajo de Grafana gestionados por Amazon de su cuenta.
**Detalles del permiso**
En la siguiente lista, se proporciona información general sobre los permisos que se incluyen en esta política.
+ `prometheus`: crea y administra los espacios de trabajo y grupos de reglas de Amazon Managed Service para Prometheus
+ `grafana`: crea y administra cuentas de servicio y espacios de trabajo de Amazon Managed Grafana
+ `eks`: crea y administra el complemento `amazon-sagemaker-hyperpod-observability` de Amazon EKS
+ `iam`: transfiere roles de servicio de IAM específicos a Amazon Managed Grafana y Amazon EKS
+ `sagemaker`— Enumera y describe los clústeres SageMaker HyperPod
+ `sso`: crea y administra instancias de aplicación del IAM Identity Center para la configuración de Amazon Managed Grafana
+ `tag`: etiqueta Amazon Managed Service para Prometheus, Amazon Managed Grafana y los recursos de los complementos de Amazon EKS
Para ver la política JSON, consulte [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS política gestionada: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod crea y usa el rol vinculado al servicio nombrado `AWSServiceRoleForSageMakerHyperPod` junto con el rol `AmazonSageMakerHyperPodServiceRolePolicy` adjunto al rol. Esta política otorga SageMaker HyperPod permisos a Amazon para AWS servicios relacionados, como Amazon EKS y Amazon CloudWatch.
La función vinculada al servicio facilita la configuración SageMaker HyperPod , ya que no es necesario añadir manualmente los permisos necesarios. SageMaker HyperPod define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo SageMaker HyperPod puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus SageMaker HyperPod recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
`AmazonSageMakerHyperPodServiceRolePolicy`Permite SageMaker HyperPod realizar las siguientes acciones en los recursos especificados en su nombre.
**Detalles de los permisos**
Esta política de roles vinculados a servicios incluye los siguientes permisos.
+ `eks`: permite a las entidades principales leer información del clúster de Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Permite a los directores publicar transmisiones de CloudWatch registros de Amazon en. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para SageMaker HyperPod
No necesita crear manualmente un rol vinculado a servicios. Al crear un SageMaker HyperPod clúster mediante la consola de SageMaker IA AWS CLI, el o el SageMaker HyperPod crea automáticamente el AWS SDKs rol vinculado al servicio.
Si eliminas este rol vinculado al servicio pero necesitas volver a crearlo, puedes usar el mismo proceso (crear un nuevo SageMaker HyperPod clúster) para volver a crear el rol en tu cuenta.
## Editar un rol vinculado a un servicio para SageMaker HyperPod
SageMaker HyperPod no permite editar el rol vinculado al `AWSServiceRoleForSageMakerHyperPod` servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para SageMaker HyperPod
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**Para eliminar los recursos SageMaker HyperPod del clúster mediante el rol vinculado al servicio**
Use una de las siguientes opciones para eliminar los recursos SageMaker HyperPod del clúster.
+ [Elimine un SageMaker HyperPod clúster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) mediante la consola de SageMaker IA
+ [Elimine un SageMaker HyperPod clúster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) mediante el AWS CLI
**nota**
Si el SageMaker HyperPod servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al `AWSServiceRoleForSageMakerHyperPod` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio SageMaker HyperPod
SageMaker HyperPod admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Requisitos previos para](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html). SageMaker HyperPod
# AWS política gestionada: AmazonSageMakerClusterInstanceRolePolicy
Esta política otorga los permisos que normalmente se necesitan para usar Amazon SageMaker HyperPod.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `cloudwatch`— Permite a los directores publicar CloudWatch métricas de Amazon.
+ `logs`— Permite a los directores publicar secuencias de CloudWatch registros.
+ `s3`: permite a las entidades principales enumerar y recuperar archivos de script del ciclo de vida desde un bucket de Amazon S3 de su cuenta. Estos buckets se limitan a aquellos cuyo nombre comience por “sagemaker-”.
+ `ssmmessages`: permite a las entidades principales abrir una conexión a AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas SageMaker HyperPod gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas SageMaker HyperPod desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de SageMaker AI Document.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md): política nueva | 1 | Política inicial | 22 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): política actualizada | 2 | Se ha actualizado la política para corregir y reducir el alcance de los roles para incluir el prefijo `service-role`. También se agregaron permisos para las acciones end-to-end administrativas `eks:DeletePodIdentityAssociation` y `eks:UpdatePodIdentityAssociation` que son necesarios para ellas. | 19 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): política nueva | 1 | Política inicial | 10 de julio de 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md): política nueva | 1 | Política inicial | 9 de septiembre de 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md): política nueva | 1 | Política inicial | 29 de noviembre de 2023 |
# AWS Políticas gestionadas para la gobernanza de los modelos de SageMaker IA
Esta política AWS gestionada añade los permisos necesarios para usar SageMaker AI Model Governance. La política está disponible en su AWS cuenta y la utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Model Governance](#security-iam-awsmanpol-governance-updates)
## AWS política gestionada: AmazonSageMakerModelGovernanceUseAccess
Esta política AWS gestionada concede los permisos necesarios para utilizar todas las funciones de Amazon SageMaker AI Governance. La política está disponible en su AWS cuenta.
Esta política incluye los siguientes permisos.
+ `s3`: recupere objetos de buckets de Amazon S3. Los objetos recuperables se limitan a aquellos cuyo nombre, sin distinción entre mayúsculas y minúsculas, contenga la cadena `"sagemaker"`.
+ `kms`— Enumere las AWS KMS claves que se utilizarán para el cifrado de contenido.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Model Governance
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para SageMaker AI Model Governance desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker IA.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess): actualización de una política existente | 3 | Añadir declaración IDs (`Sid`). | 4 de junio de 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Actualización a una política existente | 2 | Se agregaron los permisos `sagemaker:DescribeModelPackage` y `DescribeModelPackageGroup`. | 17 de julio de 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Nueva política | 1 | Política inicial | 30 de noviembre de 2022 |
# AWS Políticas gestionadas para el registro de modelos
Estas políticas AWS administradas agregan los permisos necesarios para usar Model Registry. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola Amazon SageMaker AI.
**Topics**
+ [AWS política gestionada: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de Model Registry](#security-iam-awsmanpol-model-registry-updates)
## AWS política gestionada: AmazonSageMakerModelRegistryFullAccess
Esta política AWS gestionada concede los permisos necesarios para utilizar todas las funciones de Model Registry dentro de un dominio de Amazon SageMaker AI. Esta política se asocia a un rol de ejecución al configurar los ajustes del registro de modelos para habilitar los permisos del registro de modelos.
Esta política incluye los siguientes permisos.
+ `ecr`: permite a las entidades principales recuperar información, incluidos metadatos, sobre imágenes de Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Permite a los directores transferir la función de ejecución al servicio Amazon SageMaker AI.
+ `resource-groups`— Permite a los directores crear, enumerar, etiquetar y eliminar. Grupos de recursos de AWS
+ `s3`: permite a las entidades principales recuperar objetos de los buckets de Amazon Simple Storage Service (Amazon S3) en los que se almacenan las versiones del modelo. Los objetos recuperables se limitan a aquellos cuyo nombre, sin distinción entre mayúsculas y minúsculas, contenga la cadena `"sagemaker"`.
+ `sagemaker`— Permite a los directores catalogar, gestionar e implementar modelos mediante el Registro de SageMaker modelos.
+ `kms`— Permite que solo el director del servicio de SageMaker IA añada una subvención, genere claves de datos, descifre y lea AWS KMS claves, y solo las claves que estén etiquetadas para ser utilizadas por «sagemaker».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de Model Registry
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Model Registry desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker AI.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess): actualización de una política existente | 2 | Se han añadido los permisos `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` y `kms:Decrypt`. | 6 de junio de 2024 |
| AmazonSageMakerModelRegistryFullAccess - Nueva política | 1 | Política inicial | 12 de abril de 2023 |
# AWS Políticas gestionadas para SageMaker ordenadores portátiles
Estas políticas AWS administradas añaden los permisos necesarios para usar los SageMaker cuadernos. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS política gestionada: AmazonSageMakerNotebooksServiceRolePolicy
Esta política AWS gestionada concede los permisos que normalmente se necesitan para usar Amazon SageMaker Notebooks. La política se añade a la `AWSServiceRoleForAmazonSageMakerNotebooks` que se crea cuando te incorporas a Amazon SageMaker Studio Classic. Para obtener más información sobre los roles vinculados a servicios, consulte [Roles vinculados a servicios](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Para obtener más información, consulte [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `elasticfilesystem`: permite a las entidades principales crear y eliminar sistemas de archivos, puntos de acceso y destinos de montaje de Amazon Elastic File System (EFS). Se limitan a las etiquetadas con la clave *ManagedByAmazonSageMakerResource*. Permite a las entidades principales describir todos los sistemas de archivos, puntos de acceso y destinos de montaje de EFS. Permite a las entidades principales crear o sobrescribir etiquetas para los puntos de acceso de EFS y objetivos de montaje.
+ `ec2`: permite a las entidades principales crear interfaces de red y grupos de seguridad para instancias de Amazon Elastic Compute Cloud (EC2). También permite a las entidades principales crear y sobrescribir etiquetas para estos recursos.
+ `sso`: permite a las entidades principales agregar y eliminar instancias de aplicaciones administradas a AWS IAM Identity Center.
+ `sagemaker`— Permite a los directores crear y leer SageMaker perfiles de usuario y espacios de SageMaker IA; eliminar espacios de SageMaker IA y aplicaciones de SageMaker IA; y añadir y enumerar etiquetas.
+ `fsx`— Permite a los directores describir el sistema de archivos Amazon FSx for Lustre y utilizar los metadatos para montarlo en una libreta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de SageMaker AI Notebooks
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy): actualización de una política existente | 10 | Se agregó el permiso `fsx:DescribeFileSystems`. | 14 de noviembre de 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy): actualización de una política existente | 9 | Se agregó el permiso `sagemaker:DeleteApp`. | 24 de julio de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Actualización de una política existente | 8 | Se agregaron los permisos `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` y `sagemaker:AddTags`. | 22 de mayo de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Actualización a una política existente | 7 | Se agregó el permiso `elasticfilesystem:TagResource`. | 9 de marzo de 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Actualización a una política existente | 6 | Se agregaron los permisos `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` y `elasticfilesystem:DescribeAccessPoints`. | 12 de enero de 2023 |
| | | SageMaker AI comenzó a rastrear los cambios en sus políticas AWS gestionadas. | 1 de junio de 2021 |
# AWS políticas gestionadas para Amazon SageMaker Partner AI Apps
Estas políticas AWS gestionadas añaden los permisos necesarios para utilizar las aplicaciones de IA de Amazon SageMaker Partner. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de Partner AI Apps](#security-iam-awsmanpol-partner-apps-updates)
## AWS política gestionada: AmazonSageMakerPartnerAppsFullAccess
Permite el acceso administrativo completo a las aplicaciones de IA de Amazon SageMaker Partner.
**Detalles de los permisos**
Esta política AWS gestionada incluye los siguientes permisos.
+ `sagemaker`— Otorga a los usuarios de la aplicación Amazon SageMaker Partner AI permiso para acceder a las aplicaciones, enumerar las aplicaciones disponibles UIs, lanzar aplicaciones web y conectarse mediante el SDK de la aplicación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas de Partner AI Apps
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de las aplicaciones de IA asociadas desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker AI.](doc-history.md)
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Nueva política | 1 | Política inicial | 17 de enero de 2025 |
# AWS Políticas gestionadas para SageMaker oleoductos
Estas políticas AWS gestionadas añaden los permisos necesarios para usar SageMaker Pipelines. Las políticas están disponibles en tu AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
**Topics**
+ [AWS política gestionada: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI actualiza las políticas gestionadas por SageMaker AI Pipelines](#security-iam-awsmanpol-pipelines-updates)
## AWS política gestionada: AmazonSageMakerPipelinesIntegrations
Esta política AWS gestionada concede los permisos que normalmente se necesitan para usar los pasos de Callback y Lambda en SageMaker Pipelines. La política se añade a la `AmazonSageMaker-ExecutionRole` que se crea cuando te incorporas a Amazon SageMaker Studio Classic. La política se puede asociar a cualquier otro rol usado para crear o ejecutar una canalización.
Esta política otorga los permisos correspondientes a AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon e IAM necesarios para crear canalizaciones que invoquen funciones de Lambda o incluyan pasos de devolución de llamada, que se pueden utilizar para pasos de aprobación manual o para ejecutar cargas de trabajo personalizadas.
Los permisos de Amazon SQS le permiten crear la cola de Amazon SQS necesaria para recibir mensajes de devolución de llamada y también enviar mensajes a esa cola.
Los permisos de Lambda le permiten crear, leer, actualizar y eliminar las funciones de Lambda utilizadas en los pasos de la canalización, y también invocar esas funciones de Lambda.
Esta política otorga los permisos de Amazon EMR necesarios para ejecutar un paso de Amazon EMR de las canalizaciones.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `elasticmapreduce`: lee, agrega y cancela los pasos de un clúster de Amazon EMR en ejecución. Lee, crea y finaliza un nuevo clúster de Amazon EMR.
+ `events`— Lea, cree, actualice y añada objetivos a una regla denominada y. EventBridge `SageMakerPipelineExecutionEMRStepStatusUpdateRule` `SageMakerPipelineExecutionEMRClusterStatusUpdateRule`
+ `iam`— Transferir una función de IAM al servicio AWS Lambda, Amazon EMR y Amazon EC2.
+ `lambda`: crea, lee, actualiza, elimina e invoca funciones de Lambda. Estos permisos se limitan a las funciones cuyo nombre incluya “sagemaker”.
+ `sqs`: crea una cola de Amazon SQS; envía un mensaje de Amazon SQS. Estos permisos se limitan a las colas cuyo nombre incluya “sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas gestionadas por SageMaker AI Pipelines
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations): actualización de una política existente | 3 | Se agregaron permisos para `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps` y `elasticmapreduce:DescribeCluster`. | 17 de febrero de 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations): actualización de una política existente | 2 | Se agregaron permisos para `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps` y `elasticmapreduce:DescribeStep`. | 20 de abril de 2022 |
| AmazonSageMakerPipelinesIntegrations - Nueva política | 1 | Política inicial | 30 de julio de 2021 |
# AWS políticas gestionadas para planes SageMaker de formación
Esta política AWS gestionada concede los permisos necesarios para crear y gestionar los planes de SageMaker formación de Amazon y la capacidad reservada en SageMaker IA. La política se puede adjuntar a las funciones de IAM utilizadas para crear y gestionar los planes de formación y la capacidad reservada dentro de la SageMaker IA, incluida la [función de ejecución de la SageMaker IA](sagemaker-roles.md).
**Topics**
+ [AWS política gestionada: AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [Amazon SageMaker AI actualiza los planes de SageMaker formación y las políticas gestionadas](#security-iam-awsmanpol-training-plan-updates)
## AWS política gestionada: AmazonSageMakerTrainingPlanCreateAccess
Esta política proporciona los permisos necesarios para crear, describir, buscar y enumerar planes de formación en SageMaker IA. Además, también permite añadir etiquetas a los planes de entrenamiento y a los recursos de capacidad reservada en condiciones específicas.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sagemaker`: permite crear planes de entrenamiento y capacidad reservada, añadir etiquetas a los planes de entrenamiento y a la capacidad reservada cuando la acción de etiquetar sea específicamente `CreateTrainingPlan` o `CreateReservedCapacity`, describir los planes de entrenamiento, buscar ofertas de planes de entrenamiento y enumerar los planes de entrenamiento existentes en todos los recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI actualiza los planes de SageMaker formación y las políticas gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - política actualizada | 2 | Se actualizó la política para añadir permisos para recuperar información sobre una capacidad reservada específica y enumerar todas las que se UltraServers encuentran en una capacidad reservada. | 29 de julio de 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Nueva política | 1 | Política inicial | 4 de diciembre de 2024 |
# AWS Políticas gestionadas para SageMaker proyectos y JumpStart
Estas políticas AWS gestionadas añaden permisos para usar plantillas y JumpStart soluciones de proyectos de Amazon SageMaker AI integradas. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola de SageMaker IA.
SageMaker Proyecta y JumpStart usa AWS Service Catalog para aprovisionar AWS recursos en las cuentas de los clientes. Algunos recursos creados deben asumir un rol de ejecución. Por ejemplo, si AWS Service Catalog crea una CodePipeline canalización en nombre de un cliente para un CI/CD proyecto de aprendizaje automático de SageMaker IA, esa canalización requiere una función de IAM.
El [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)rol tiene los permisos necesarios para lanzar la cartera de productos de SageMaker IA de AWS Service Catalog. El [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)rol tiene los permisos necesarios para usar la cartera de productos de SageMaker IA de AWS Service Catalog. La `AmazonSageMakerServiceCatalogProductsLaunchRole` función transfiere una `AmazonSageMakerServiceCatalogProductsUseRole` función a los recursos de productos de AWS Service Catalog aprovisionados.
**Topics**
+ [AWS política gestionada: - AmazonSageMakerAdmin ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsEventsServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS política gestionada: política AmazonSageMakerServiceCatalogProductsGlueServiceRole](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS política gestionada: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [Amazon SageMaker AI actualiza las políticas AWS gestionadas de AWS Service Catalog](#security-iam-awsmanpol-sc-updates)
## AWS política gestionada: - AmazonSageMakerAdmin ServiceCatalogProductsServiceRolePolicy
El servicio utiliza esta política de roles de AWS Service Catalog servicio para aprovisionar productos de la cartera de Amazon SageMaker AI. La política otorga permisos a un conjunto de AWS servicios relacionados AWS CodePipeline, incluidos AWS CodeBuild AWS CodeCommit, AWS CloudFormation, AWS Glue y otros.
La `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` política está pensada para que la utilice el `AmazonSageMakerServiceCatalogProductsLaunchRole` rol creado desde la consola de SageMaker IA. La política agrega permisos para aprovisionar AWS recursos para SageMaker proyectos y JumpStart usar Service Catalog a la cuenta de un cliente.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `apigateway`: permite que el rol llame a los puntos de conexión de API Gateway que estén etiquetados con `sagemaker:launch-source`.
+ `cloudformation`— Permite AWS Service Catalog crear, actualizar y eliminar CloudFormation pilas. También permite a Service Catalog etiquetar y eliminar etiquetas en los recursos.
+ `codebuild`— Permite que el rol que asume AWS Service Catalog y CloudFormation al que se transfiere cree, actualice y elimine CodeBuild proyectos.
+ `codecommit`— Permite que el rol asumido AWS Service Catalog y CloudFormation al que se transfiere cree, actualice y elimine CodeCommit repositorios.
+ `codepipeline`— Permite crear, actualizar AWS Service Catalog y eliminar CodePipelines el CloudFormation rol asumido y transferido.
+ `codeconnections`, `codestar-connections` — También permite la transferencia del rol AWS CodeConnections y AWS CodeStar las conexiones.
+ `cognito-idp`: permite al rol crear, actualizar y eliminar grupos y grupos de usuarios. También permite etiquetar recursos.
+ `ecr`— Permite que la función que asume AWS Service Catalog y CloudFormation a la que se transfiere cree y elimine repositorios de Amazon ECR. También permite etiquetar recursos.
+ `events`— Permite que la función asumida AWS Service Catalog y transferida CloudFormation cree y elimine EventBridge reglas. Se utiliza para unir los distintos componentes de la canalización CICD.
+ `firehose`: permite al rol interactuar con flujos de Firehose.
+ `glue`— Permite interactuar con el rol AWS Glue.
+ `iam`: permite que el rol pase los roles precedidos de `AmazonSageMakerServiceCatalog`. Se requiere cuando los proyectos aprovisionan un producto de AWS Service Catalog , ya que es necesario transferir un rol a AWS Service Catalog.
+ `lambda`: permite al rol interactuar con AWS Lambda. También permite etiquetar recursos.
+ `logs`: permite al rol crear, eliminar y acceder a flujos de registro.
+ `s3`— Permite que la función asumida AWS Service Catalog y a la que se transfiere acceda CloudFormation a los buckets de Amazon S3 donde se almacena el código de la plantilla del proyecto.
+ `sagemaker`— Permite que el rol interactúe con varios servicios de SageMaker IA. Esto se hace tanto CloudFormation durante el aprovisionamiento de la plantilla como CodeBuild durante la ejecución de la canalización del CICD. También permite etiquetar los siguientes recursos: puntos de conexión, configuraciones de puntos de conexión, modelos, canalizaciones, proyectos y paquetes de modelos.
+ `states`: permite que el rol cree, elimine y actualice Step Functions precedidas de `sagemaker`.
Para ver los permisos de esta política, consulte [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) en la Referencia de políticas AWS gestionadas.
## AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Amazon API Gateway utiliza esta política en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a un rol de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por API Gateway que requieren un rol.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `lambda`: invoca una función creada por una plantilla de socio.
+ `sagemaker`: invoca un punto de conexión creado por una plantilla de socio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Esta política se utiliza AWS CloudFormation en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por CloudFormation esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: transfiere los roles `AmazonSageMakerServiceCatalogProductsLambdaRole` y `AmazonSageMakerServiceCatalogProductsApiGatewayRole`.
+ `lambda`— Crear, actualizar, eliminar e invocar AWS Lambda funciones; recuperar, publicar y eliminar versiones de una capa Lambda.
+ `apigateway`: crea, actualiza y elimina los recursos de Amazon API Gateway.
+ `s3`: recupera el archivo `lambda-auth-code/layer.zip` de un bucket de Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Esta política se utiliza AWS Lambda en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a una función de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por Lambda que requieren una función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `secretsmanager`: recupera datos de los secretos proporcionados por el socio para una plantilla de socio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Amazon API Gateway utiliza esta política en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a un rol de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por API Gateway que requieren un rol.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `logs`— Cree y lea grupos, transmisiones y eventos de CloudWatch registros; actualice eventos; describa varios recursos.
Estos permisos se limitan a los recursos cuyo prefijo de grupo de registros comience por ·aws/apigateway/·.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Política
Esta política se utiliza AWS CloudFormation en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por CloudFormation esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sagemaker`— Permita el acceso a varios recursos de SageMaker IA, incluidos los dominios, los perfiles de usuario, las aplicaciones y las definiciones de flujos.
+ `iam`: transfiere los roles `AmazonSageMakerServiceCatalogProductsCodeBuildRole` y `AmazonSageMakerServiceCatalogProductsExecutionRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Esta política se utiliza AWS CodeBuild en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por CodeBuild esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sagemaker`— Permitir el acceso a varios recursos de SageMaker IA.
+ `codecommit`— Sube CodeCommit archivos a los CodeBuild pipelines, consulta el estado de las subidas y cancela las subidas; obtén información sobre sucursales y confirmaciones. Estos permisos se limitan a los recursos cuyo nombre comience por “sagemaker-”.
+ `ecr`: crea repositorios e imágenes de contenedores de Amazon ECR; carga capas de imágenes. Estos permisos se limitan a los repositorios cuyo nombre comience por “sagemaker-”.
`ecr`: lee todos los recursos.
+ `iam`: transfiere los siguientes roles:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`para. AWS CloudFormation
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`para AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`para AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`a Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`a Amazon SageMaker AI.
+ `logs`— Cree y lea grupos, transmisiones y eventos de CloudWatch registros; actualice eventos; describa varios recursos.
Estos permisos se limitan a los recursos cuyo prefijo de nombre comience por “aws/codebuild/”.
+ `s3`: crea, lee y enumera buckets de Amazon S3. Estos permisos se limitan a los buckets cuyo nombre comience por “sagemaker-”.
+ `codeconnections`, `codestar-connections` — Uso AWS CodeConnections y AWS CodeStar conexiones.
Para ver los permisos de esta política, consulte [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)la Referencia de políticas AWS gestionadas.
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Esta política se utiliza AWS CodePipeline en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por CodePipeline esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `cloudformation`— Crear, leer, eliminar y actualizar CloudFormation pilas; crear, leer, eliminar y ejecutar conjuntos de cambios; establecer una política de pila; etiquetar y desetiquetar los recursos. Estos permisos se limitan a los recursos cuyo nombre comience por “sagemaker-”.
+ `s3`: crea, lee, enumera y elimina buckets de Amazon S3; agrega, lee y elimina objetos de los buckets; lee y establece la configuración de CORS; lee la lista de control de acceso (ACL); y lee la región de AWS en la que reside el bucket.
Estos permisos se limitan a los buckets cuyo nombre comience por “sagemaker-” or “aws-glue-”.
+ `iam`: transfiere el rol `AmazonSageMakerServiceCatalogProductsCloudformationRole`.
+ `codebuild`— Obtenga información sobre las CodeBuild compilaciones e inicie las compilaciones. Estos permisos se limitan a los proyectos y recursos de compilación cuyo nombre comience por “sagemaker-”.
+ `codecommit`— Sube CodeCommit archivos a los CodeBuild pipelines, consulta el estado de las subidas y cancela las subidas; obtén información sobre sucursales y confirmaciones.
+ `codeconnections`, `codestar-connections` — Uso AWS CodeConnections y conexiones. AWS CodeStar
Para ver los permisos de esta política, consulte [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)la Referencia de políticas AWS gestionadas.
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsEventsServiceRole Política
Amazon utiliza esta política EventBridge en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a asociarse a una función de IAM que luego se [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transfiere a los AWS recursos creados por EventBridge esa función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `codepipeline`— Iniciar una CodeBuild ejecución. Estos permisos se limitan a canalizaciones cuyo nombre comience por “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Política
Amazon Data Firehose utiliza esta política en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a una función de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por Firehose que requieren una función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `firehose`: permite enviar registros de Firehose. Estos permisos se limitan a los recursos cuyo nombre de transmisión de entrega comience por “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS política gestionada: política AmazonSageMakerServiceCatalogProductsGlueServiceRole
AWS Glue utiliza esta política en los productos aprovisionados por AWS Service Catalog de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a un rol de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por Glue que requieren un rol.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `glue`— Crear, leer y eliminar particiones, tablas y versiones de tablas de AWS Glue. Estos permisos se limitan a los recursos cuyo nombre comience por “sagemaker-”. Crea y lee bases de datos de AWS Glue. Estos permisos se limitan a las bases de datos cuyo nombre sea “default”, “global\$1temp” o comience por “sagemaker-”. Funciones definidas por el usuario.
+ `s3`: crea, lee, enumera y elimina buckets de Amazon S3; agrega, lee y elimina objetos de los buckets; lee y establece la configuración de CORS; lee la lista de control de acceso (ACL); y lee la región de AWS en la que reside el bucket.
Estos permisos se limitan a los buckets cuyo nombre comience por “sagemaker-” or “aws-glue-”.
+ `logs`— Cree, lea y elimine CloudWatch registros, grupos de registros, transmisiones y entregas; y cree una política de recursos.
Estos permisos se limitan a los recursos cuyo prefijo de nombre comience por “aws/glue/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Política
Esta política se utiliza AWS Lambda en los productos AWS Service Catalog aprovisionados de la cartera de Amazon SageMaker AI. La política está destinada a adjuntarse a una función de IAM que luego [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)pasa a los AWS recursos creados por Lambda que requieren una función.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `sagemaker`— Permitir el acceso a varios recursos de SageMaker IA.
+ `ecr`: crea y elimina repositorios de Amazon ECR; crea, lee y elimina imágenes de contenedores; carga capas de imágenes. Estos permisos se limitan a los repositorios cuyo nombre comience por “sagemaker-”.
+ `events`— Crear, leer y eliminar EventBridge reglas de Amazon; y crear y eliminar objetivos. Estos permisos se limitan a las reglas cuyo nombre comience por “sagemaker-”.
+ `s3`: crea, lee, enumera y elimina buckets de Amazon S3; agrega, lee y elimina objetos de los buckets; lee y establece la configuración de CORS; lee la lista de control de acceso (ACL); y lee la región de AWS en la que reside el bucket.
Estos permisos se limitan a los buckets cuyo nombre comience por “sagemaker-” or “aws-glue-”.
+ `iam`: transfiere el rol `AmazonSageMakerServiceCatalogProductsExecutionRole`.
+ `logs`— Crea, lee y elimina CloudWatch registros, grupos de registros, transmisiones y entregas; y crea una política de recursos.
Estos permisos se limitan a los recursos cuyo prefijo de nombre comience por “aws/lambda/”.
+ `codebuild`— Comience y obtenga información sobre las AWS CodeBuild compilaciones.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI actualiza las políticas AWS gestionadas de AWS Service Catalog
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) - Política actualizada | 10 | `codestar-connections:PassConnection`Actualizaciones y `codeconnections:PassConnection` permisos. | 27 de septiembre de 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): política actualizada | 3 | Actualizado `codestar-connections:UseConnection` y `codeconnections:UseConnection` permisos. | 27 de septiembre de 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): política actualizada | 3 | Actualizado `codestar-connections:UseConnection` y `codeconnections:UseConnection` permisos. | 27 de septiembre de 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): política actualizada | 9 | Se agregaron los permisos `cloudformation:TagResource`, `cloudformation:UntagResource` y `codeconnections:PassConnection`. | 1 de julio de 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 7 | La política se ha revertido a la versión 7 (v7). Se han eliminado los permisos `cloudformation:TagResource`, `cloudformation:UntagResource` y `codeconnections:PassConnection`. | 12 de junio de 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 8 | Se agregaron los permisos `cloudformation:TagResource`, `cloudformation:UntagResource` y `codeconnections:PassConnection`. | 11 de junio de 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): política actualizada | 2 | Se agregaron los permisos `codestar-connections:UseConnection` y `codeconnections:UseConnection`. | 11 de junio de 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): política actualizada | 2 | Se han añadido los permisos `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` y `codeconnections:UseConnection`. | 11 de junio de 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy): política actualizada | 2 | Se agregaron los permisos `codebuild:StartBuild` y `codebuild:BatchGetBuilds`. | 11 de junio de 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Política inicial | 1 de agosto de 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Política inicial | 1 de agosto de 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Política inicial | 1 de agosto de 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy): política actualizada | 2 | Se agregó el permiso para `glue:GetUserDefinedFunctions`. | 26 de agosto de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 7 | Se agregó el permiso para `sagemaker:AddTags`. | 2 de agosto de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 6 | Se agregó el permiso para `lambda:TagResource`. | 14 de julio de 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolítica | 1 | Política inicial | 4 de abril de 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Política inicial | 24 de marzo de 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Política inicial | 24 de marzo de 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Política inicial | 24 de marzo de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 5 | Se agregó el permiso para `ecr-idp:TagResource`. | 21 de marzo de 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Política inicial | 22 de febrero de 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Política inicial | 22 de febrero de 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Política inicial | 22 de febrero de 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolítica | 1 | Política inicial | 22 de febrero de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 4 | Se agregaron permisos para `cognito-idp:TagResource` y `s3:PutBucketCORS`. | 16 de febrero de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 3 | Se agregaron nuevos permisos para `sagemaker`. Crear, leer, actualizar y eliminar SageMaker imágenes. | 15 de septiembre de 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política actualizada | 2 | Se agregaron permisos para `sagemaker` y `codestar-connections`. Crea, lee, actualiza y elimina repositorios de código. Pase AWS CodeStar las conexiones a AWS CodePipeline. | 1 de julio de 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Política inicial | 27 de noviembre de 2020 |
## SageMaker Actualizaciones de IA de las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para la SageMaker IA desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess): actualización de una política existente | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 de diciembre de 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess): actualización de una política existente | 26 | Se agregó el permiso `sagemaker:AddTags`. | 29 de marzo de 2024 |
| AmazonSageMakerFullAccess - Actualización de una política existente | 25 | Se han añadido los permisos `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` y `s3express:ListAllMyDirectoryBuckets`. | 30 de noviembre de 2023 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 24 | Se agregaron los permisos `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` y `sagemaker:ListSpaces`. | 30 de noviembre de 2022 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 23 | Añada `glue:UpdateTable`. | 29 de junio de 2022 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 22 | Añada `cloudformation:ListStackResources`. | 1 de mayo de 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly): actualización de una política existente | 11 | Se agregaron los permisos `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy`. | 1 de diciembre de 2021 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 21 | Se agregaron los permisos `sns:Publish` para los puntos de conexión con la inferencia asíncrona habilitada. | 8 de septiembre de 2021 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 20 | Se actualizaron los recursos y los permisos de `iam:PassRole`. | 15 de julio de 2021 |
| AmazonSageMakerReadOnly - Actualización a una política existente | 10 | `BatchGetRecord`Se agregó una nueva API para SageMaker AI Feature Store. | 10 de junio de 2021 |
| | | SageMaker AI comenzó a rastrear los cambios en sus políticas AWS gestionadas. | 1 de junio de 2021 |
# Solución de problemas de Amazon SageMaker AI Identity and Access
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con la SageMaker IA y la IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en IA SageMaker](#security_iam_troubleshoot-no-permissions)
+ [No tengo autorización para realizar `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de SageMaker IA](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en IA SageMaker
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para ver detalles sobre un trabajo de entrenamiento pero no tiene permisos de `sagemaker:sagemaker:DescribeTrainingJob`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not
authorized to perform: sagemaker:DescribeTrainingJob on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `TrainingJob` mediante la acción `sagemaker:DescribeTrainingJob`.
## No tengo autorización para realizar `iam:PassRole`
Si recibes un mensaje de error que indica que no estás autorizado a realizar la `iam:PassRole` acción, debes actualizar tus políticas para que puedas transferir una función a SageMaker AI.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en SageMaker AI. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de SageMaker IA
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si la SageMaker IA es compatible con estas funciones, consulte. [Cómo funciona Amazon SageMaker AI con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Registro y supervisión
Puedes monitorizar la SageMaker IA de Amazon con Amazon CloudWatch, que recopila datos sin procesar y los procesa para convertirlos en métricas legibles prácticamente en tiempo real. Estas estadísticas se mantienen durante 15 meses, de forma que pueda obtener acceso a información histórica y disponer de una mejor perspectiva sobre el rendimiento de su aplicación web o servicio. También puede establecer alarmas que observen determinados umbrales y enviar notificaciones o realizar acciones cuando se cumplan dichos umbrales. Para obtener más información, consulte [Métricas de Amazon SageMaker AI en Amazon CloudWatch](monitoring-cloudwatch.md).
Amazon CloudWatch Logs le permite supervisar, almacenar y acceder a sus archivos de registro desde instancias de Amazon EC2 y otras fuentes. AWS CloudTrail Puede recopilar métricas y realizar un seguimiento, crear paneles personalizados y configurar alarmas que le notifiquen o tomen medidas cuando una métrica específica alcance un umbral que usted especifique. CloudWatch Los registros pueden supervisar la información de los archivos de registro y notificarle cuando se alcanzan determinados umbrales. También se pueden archivar los datos del registro en un almacenamiento de larga duración. Para obtener más información, consulte [CloudWatch Registros para Amazon SageMaker AI](logging-cloudwatch.md).
AWS CloudTrail proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en SageMaker IA. Con la información recopilada por AI CloudTrail, puede determinar la solicitud que se realizó a SageMaker AI, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se hizo y detalles adicionales. Para obtener más información, [Registro de llamadas a la API de Amazon SageMaker AI mediante AWS CloudTrail](logging-using-cloudtrail.md).
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) es un servicio de detección de amenazas que supervisa y analiza continuamente tus registros CloudTrail de gestión y eventos para identificar posibles problemas de seguridad. Cuando habilitas GuardDuty una AWS cuenta, esta comienza a analizar automáticamente los CloudTrail registros para detectar actividades sospechosas en ella SageMaker APIs. Por ejemplo, GuardDuty detectará actividades sospechosas cuando un usuario cree de forma anómala una nueva instancia de bloc de notas prefirmada o vacía que luego pueda utilizarse para realizar acciones malintencionadas. GuardDutyLa exclusiva detección de exfiltración de credenciales puede ayudar al cliente a identificar que AWS las credenciales asociadas a la instancia de Amazon EC2 se filtraron y, a continuación, se utilizaron para llamar desde otra cuenta. SageMaker APIs AWS
Puede crear reglas en Amazon CloudWatch Events para reaccionar a los cambios de estado en un trabajo de SageMaker formación, ajuste de hiperparámetros o transformación por lotes. Para obtener más información, consulte [Eventos que Amazon SageMaker AI envía a Amazon EventBridge](automating-sagemaker-with-eventbridge.md).
**nota**
CloudTrail no monitorea las llamadas a. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
# Validación de conformidad para Amazon SageMaker AI
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en Amazon SageMaker AI
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
[Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Además de la infraestructura AWS global, Amazon SageMaker AI ofrece varias funciones que ayudan a respaldar sus necesidades de respaldo y resiliencia de datos.
# Seguridad de infraestructura en Amazon SageMaker AI
Como servicio gestionado, Amazon SageMaker AI está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Amazon SageMaker AI a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
**Topics**
+ [SageMaker La IA escanea los contenedores de AWS Marketplace formación e inferencia en busca de vulnerabilidades de seguridad](#mkt-container-scan)
+ [Connect a los recursos de Amazon SageMaker AI desde una VPC](infrastructure-connect-to-resources.md)
+ [Ejecución de contenedores de entrenamiento e inferencia en modo con acceso a Internet](mkt-algo-model-internet-free.md)
+ [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md)
+ [Ofrezca a la SageMaker IA acceso a los recursos de su Amazon VPC](infrastructure-give-access.md)
## SageMaker La IA escanea los contenedores de AWS Marketplace formación e inferencia en busca de vulnerabilidades de seguridad
Para cumplir con nuestros requisitos de seguridad, todas las [ SageMaker imágenes prediseñadas](https://docs.aws.amazon.com/sagemaker/latest/dg-ecr-paths/sagemaker-algo-docker-registry-paths.html), incluidos AWS Deep Learning Containers, los contenedores del marco de aprendizaje automático de SageMaker IA y los contenedores de algoritmos integrados de SageMaker IA, así como los paquetes de modelos y algoritmos que AWS Marketplace figuran en, se escanean para detectar vulnerabilidades y exposiciones comunes (CVE). CVE es una lista de información de dominio público sobre exposición y vulnerabilidades de seguridad. La base de datos nacional de vulnerabilidades (NVD) proporciona detalles de CVE como gravedad, impacto y calificación así como información de corrección. Tanto CVE como NVD están a disposición del público y los servicios y las herramientas de seguridad los pueden utilizar de forma gratuita. Para obtener más información, consulte las [Preguntas frecuentes sobre el CVE (](https://www.cve.org/ResourcesSupport/FAQs)). FAQs
# Connect a los recursos de Amazon SageMaker AI desde una VPC
**importante**
La siguiente información se aplica tanto a Amazon SageMaker Studio como a Amazon SageMaker Studio Classic. Los mismos conceptos de conexión a los recursos de una VPC se aplican tanto a Studio como a Studio Classic.
Las instancias de Amazon SageMaker Studio y SageMaker AI notebook permiten el acceso directo a Internet de forma predeterminada. SageMaker La IA te permite descargar paquetes y libretas populares, personalizar tu entorno de desarrollo y trabajar de forma eficiente. Sin embargo, esto podría proporcionar una vía de acceso no autorizado a los datos. Por ejemplo, si instala un código malicioso en su equipo, como un cuaderno o una biblioteca de código fuente a disposición del público, este podría acceder a sus datos. Puede restringir el tráfico que puede acceder a Internet lanzando sus instancias de notebook Studio y SageMaker AI en una [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
Una Amazon Virtual Private Cloud es una red virtual dedicada a tu AWS cuenta. Con una VPC de Amazon, puede controlar el acceso a la red y la conectividad a Internet de sus instancias de Studio y de cuaderno. Puede eliminar el acceso directo a Internet para añadir otra capa de seguridad.
En los siguientes temas, se describe cómo conectar las instancias de Studio y las instancias de cuaderno a los recursos de una VPC.
**Topics**
+ [Connect Amazon SageMaker Studio de una VPC a recursos externos](studio-updated-and-internet-access.md)
+ [Conexión de cuadernos de Studio en una VPC a recursos externos](studio-notebooks-and-internet-access.md)
+ [Conexión de una instancia de cuaderno en una VPC a recursos externos](appendix-notebook-and-internet-access.md)
# Connect Amazon SageMaker Studio de una VPC a recursos externos
**importante**
A partir del 30 de noviembre de 2023, la experiencia anterior de Amazon SageMaker Studio pasa a denominarse Amazon SageMaker Studio Classic. La siguiente sección está dedicada expresamente al uso de la experiencia de Studio actualizada. Para obtener más información sobre el uso de la aplicación de Studio Classic, consulte [Amazon SageMaker Studio Clásico](studio.md).
En el siguiente tema se proporciona información sobre cómo conectar Amazon SageMaker Studio en una VPC a recursos externos.
**Topics**
+ [Comunicación predeterminada con Internet](#studio-notebooks-and-internet-access-default-setting)
+ [Comunicación `VPC only` con Internet](#studio-notebooks-and-internet-access-vpc-only)
## Comunicación predeterminada con Internet
De forma predeterminada, Amazon SageMaker Studio proporciona una interfaz de red que permite la comunicación con Internet a través de una VPC gestionada por SageMaker IA. El tráfico a AWS servicios como Amazon S3 CloudWatch pasa por una puerta de enlace a Internet, al igual que el tráfico que accede a la API de SageMaker IA y al tiempo de ejecución de la SageMaker IA. El tráfico entre el dominio y su volumen de Amazon EFS pasa por la VPC que especificó al incorporarse al dominio o que llamó a la API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## Comunicación `VPC only` con Internet
Para evitar que la SageMaker IA proporcione acceso a Internet a Studio, puede deshabilitar el acceso a Internet especificando el tipo de acceso a la `VPC only` red cuando se conecte [a Studio o llame a](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) la API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Como resultado, no podrá ejecutar Studio a menos que su VPC tenga un punto final de interfaz para la SageMaker API y el tiempo de ejecución, o una puerta de enlace NAT con acceso a Internet, y sus grupos de seguridad permitan las conexiones salientes.
**nota**
El tipo de acceso a la red se puede cambiar después de crear el dominio mediante el parámetro `--app-network-access-type` del comando [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html).
### Requisitos para usar el modo `VPC only`
Si ha elegido `VpcOnly`, siga estos pasos:
1. Debe utilizar solo subredes privadas. No puede usar subredes públicas en el modo `VpcOnly`.
1. Asegúrese de que sus subredes tengan la cantidad necesaria de direcciones IP. La cantidad esperada de direcciones IP necesarias por usuario puede variar según el caso de uso. Se recomiendan entre 2 y 4 direcciones IP por usuario. La capacidad total de direcciones IP de un dominio es la suma de las direcciones IP disponibles para cada subred que se proporcionan al crear el dominio. Asegúrese de que el uso estimado de direcciones IP no supere la capacidad admitida por la cantidad de subredes que proporcione. Además, el uso de subredes distribuidas en muchas zonas de disponibilidad puede mejorar la disponibilidad de las direcciones IP. Para obtener más información, consulte el tamaño de la [VPC y la subred](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) para. IPv4
**nota**
Solo puede configurar subredes con una VPC de tenencia predeterminada en la que su instancia se ejecute en hardware compartido. [Para obtener más información sobre el atributo de arrendamiento VPCs, consulte Instancias dedicadas.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**aviso**
Al usar el modo `VpcOnly`, usted es propietario parcial de la configuración de red del dominio. Se recomienda la práctica de aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Las configuraciones de reglas de entrada excesivamente permisivas podrían permitir a los usuarios con acceso a la VPC interactuar con las aplicaciones de otros perfiles de usuario sin autenticación.
Configure uno o más grupos de seguridad con reglas de entrada y salida que permitan el siguiente tráfico:
+ [Tráfico NFS a través de TCP en el puerto 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre el dominio y el volumen de Amazon EFS.
+ [Tráfico TCP en el grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Esto es necesario para la conectividad entre la aplicación Jupyter Server y las aplicaciones Kernel Gateway. Debe permitir el acceso al menos a los puertos del rango`8192-65535`.
Cree un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad a nivel de dominio para los perfiles de usuario. Si el grupo de seguridad de nivel de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio.
1. Si desea permitir el acceso a Internet, debe usar una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) con acceso a Internet, por ejemplo, a través de una [puerta de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Si no quiere permitir el acceso a Internet, [cree puntos finales de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink) para permitir que Studio acceda a los siguientes servicios con los nombres de servicio correspondientes. También debe asociar los grupos de seguridad de la VPC a estos puntos de conexión.
+ SageMaker API:. `com.amazonaws.region.sagemaker.api`
+ SageMaker Tiempo de ejecución de IA:`com.amazonaws.region.sagemaker.runtime`. Esto es necesario para ejecutar las invocaciones de puntos de conexión.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker Proyectos:`com.amazonaws.region.servicecatalog`.
+ SageMaker Estudio:`aws.sagemaker.region.studio`.
+ Cualquier otro AWS servicio que necesite.
Si utiliza el [SDK de SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para ejecutar tareas de formación remota, también debe crear los siguientes puntos de enlace de Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Esto es necesario para permitir que el SDK de SageMaker Python obtenga el estado del trabajo de formación remota desde Amazon CloudWatch.
1. Si utiliza el dominio en el modo `VpcOnly` desde una red en las instalaciones, establezca una conectividad privada desde la red del host que ejecuta Studio en el navegador y la Amazon VPC de destino. Esto es obligatorio porque la interfaz de usuario de Studio invoca los AWS puntos finales mediante llamadas a la API con credenciales temporales AWS . Estas credenciales temporales están asociadas al rol de ejecución del perfil de usuario que ha iniciado sesión. Si el dominio está configurado en `VpcOnly` modo en una red local, la función de ejecución podría definir las condiciones de la política de IAM que exijan la ejecución de las llamadas a la API de AWS servicio únicamente a través de los puntos de enlace de Amazon VPC configurados. Esto provoca que las llamadas a la API ejecutadas desde la interfaz de usuario de Studio no se realicen correctamente. Recomendamos resolver este problema utilizando una conexión [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) o [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
**nota**
Para un cliente que trabaja en el modo VPC, los firewalls de la empresa pueden provocar problemas de conexión con Studio o las aplicaciones. Realice las siguientes comprobaciones si detecta alguno de estos problemas al utilizar Studio desde detrás de un firewall.
Compruebe que la URL de Studio y URLs todas sus aplicaciones estén en la lista de permitidos de su red. Por ejemplo:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Compruebe que las conexiones de websocket no estén bloqueadas. Jupyter usa websockets.
**Para obtener más información**
+ [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md)
+ [VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Conexión de cuadernos de Studio en una VPC a recursos externos
En el siguiente tema se proporciona información sobre cómo conectar los cuadernos de Studio de una VPC a recursos externos.
## Comunicación predeterminada con Internet
De forma predeterminada, SageMaker Studio proporciona una interfaz de red que permite la comunicación con Internet a través de una VPC gestionada por SageMaker IA. El tráfico a AWS servicios, como Amazon S3 y Amazon CloudWatch, pasa por una puerta de enlace de Internet. El tráfico que accede a la SageMaker API y al tiempo de ejecución de la SageMaker IA también pasa por una pasarela de Internet. El tráfico entre el dominio y el volumen de Amazon EFS pasa por la VPC que identificó cuando se incorporó a Studio o que llamó a la API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) En el siguiente diagrama se muestra la configuración predeterminada.
![\[SageMaker Diagrama de VPC de Studio que muestra el uso del acceso directo a Internet.\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## Comunicación `VPC only` con Internet
Para impedir que la SageMaker IA proporcione acceso a Internet a sus portátiles Studio, desactive el acceso a Internet especificando el tipo de acceso a la `VPC only` red. Especifica este tipo de acceso a la red cuando te [conectes a Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) o llames a la [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Como resultado, no podrá ejecutar un cuaderno de Studio a menos que:
+ su VPC tiene un punto final de interfaz para la SageMaker API y el tiempo de ejecución, o una puerta de enlace NAT con acceso a Internet
+ sus grupos de seguridad permitan conexiones salientes
En el siguiente diagrama se muestra una configuración para utilizar el modo de solo VPC.
![\[SageMaker Diagrama de VPC de Studio que muestra el uso del modo solo VPC.\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Requisitos para usar el modo `VPC only`
Si ha elegido `VpcOnly`, siga estos pasos:
1. Debe utilizar solo subredes privadas. No puede usar subredes públicas en el modo `VpcOnly`.
1. Asegúrese de que sus subredes tengan la cantidad necesaria de direcciones IP. La cantidad esperada de direcciones IP necesarias por usuario puede variar según el caso de uso. Se recomiendan entre 2 y 4 direcciones IP por usuario. La capacidad total de direcciones IP de un dominio de Studio es la suma de las direcciones IP disponibles para cada subred que se proporcionan al crear el dominio. Asegúrese de que el uso de direcciones IP no supere la capacidad que permite el número de subredes que ha proporcionado. Además, el uso de subredes distribuidas en muchas zonas de disponibilidad puede ayudar a mejorar la disponibilidad de las direcciones IP. Para obtener más información, consulte el tamaño de la [VPC y la subred](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) para. IPv4
**nota**
Solo puede configurar subredes con una VPC de tenencia predeterminada en la que su instancia se ejecute en hardware compartido. [Para obtener más información sobre el atributo de arrendamiento VPCs, consulte Instancias dedicadas.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**aviso**
Al usar el modo `VpcOnly`, usted es propietario parcial de la configuración de red del dominio. Se recomienda la práctica de aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Las configuraciones de reglas de entrada excesivamente permisivas podrían permitir a los usuarios con acceso a la VPC interactuar con las aplicaciones de otros perfiles de usuario sin autenticación.
Configure uno o más grupos de seguridad con reglas de entrada y salida que permitan el siguiente tráfico:
+ [Tráfico NFS a través de TCP en el puerto 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre el dominio y el volumen de Amazon EFS.
+ [Tráfico TCP en el grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Esto es necesario para la conectividad entre la aplicación Jupyter Server y las aplicaciones Kernel Gateway. Debe permitir el acceso al menos a los puertos del rango`8192-65535`.
Cree un grupo de seguridad distinto para cada perfil de usuario y agregue el acceso entrante desde ese mismo grupo de seguridad. No se recomienda reutilizar un grupo de seguridad a nivel de dominio para los perfiles de usuario. Si el grupo de seguridad de dominio permite el acceso entrante a sí mismo, todas las aplicaciones del dominio tendrán acceso a todas las demás aplicaciones del dominio.
1. Si desea permitir el acceso a Internet, debe usar una [puerta de enlace NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) con acceso a Internet, por ejemplo, a través de una [puerta de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Para eliminar el acceso a Internet, [cree puntos finales de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) para permitir que Studio acceda a los siguientes servicios con los nombres de servicio correspondientes. También debe asociar los grupos de seguridad de la VPC a estos puntos de conexión.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker Tiempo de ejecución de IA:`com.amazonaws.region.sagemaker.runtime`. Esto es necesario para ejecutar los cuadernos de Studio y para entrenar y alojar modelos.
+ Amazon S3: `com.amazonaws.region.s3`.
+ Para usar SageMaker Projects:`com.amazonaws.region.servicecatalog`.
+ Cualquier otro AWS servicio que necesite.
Si utiliza el [SDK de SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para ejecutar tareas de formación remota, también debe crear los siguientes puntos de enlace de Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Esto es necesario para permitir que el SDK de SageMaker Python obtenga el estado del trabajo de formación remota desde Amazon CloudWatch.
**nota**
Para un cliente que trabaja en modo VPC, los firewalls de la empresa pueden provocar problemas de conexión con SageMaker Studio o entre y JupyterServer . KernelGateway Realiza las siguientes comprobaciones si te encuentras con alguno de estos problemas al usar SageMaker Studio desde un firewall.
Compruebe que la URL de Studio esté en la lista de permitidas de su red.
Compruebe que las conexiones de websocket no estén bloqueadas. Jupyter usa websocket internamente. Si la KernelGateway aplicación lo está InService, es JupyterServer posible que no pueda conectarse al KernelGateway. También debería ver este problema al abrir la terminal del sistema.
**Para obtener más información**
+ [Proteger la conectividad de Amazon SageMaker Studio mediante una VPC privada](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md)
+ [VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Conexión de una instancia de cuaderno en una VPC a recursos externos
En el siguiente tema, se proporciona información sobre cómo conectar su instancia de cuaderno en una VPC a recursos externos.
## Comunicación predeterminada con Internet
Cuando su portátil permite el *acceso directo a Internet*, la SageMaker IA proporciona una interfaz de red que permite que el portátil se comunique con Internet a través de una VPC gestionada por SageMaker IA. El tráfico dentro del CIDR de su VPC pasa por la interfaz de red elástica creada en su VPC. Todo el resto del tráfico pasa por la interfaz de red creada por la SageMaker IA, que es básicamente a través de la Internet pública. El tráfico a los puntos de conexión de VPC de puerta de enlace como Amazon S3 y DynamoDB pasa a través de Internet público, mientras que el tráfico a los puntos de conexión de VPC de interfaz seguirá pasando a través de su VPC. Si desea utilizar puntos de conexión de VPC de puerta de enlace, puede ser buena idea deshabilitar el acceso directo a Internet.
## Comunicación solo de VPC con Internet
Para deshabilitar el acceso directo a Internet, puede especificar una VPC para su instancia de bloc de notas. De este modo, evitas que la SageMaker IA proporcione acceso a Internet a la instancia de tu portátil. Como resultado, la instancia de cuaderno no podrá realizar el entrenamiento de los modelos ni alojarlos hasta que su VPC disponga de un punto de conexión de interfaz (AWS PrivateLink) o una puerta de enlace NAT y sus grupos de seguridad permitan las conexiones salientes.
Para obtener información sobre cómo crear un punto final de interfaz de VPC AWS PrivateLink para usarlo en su instancia de bloc de notas, consulte. [Conexión a una instancia de bloc de notas a través de un punto de enlace de interfaz de VPC](notebook-interface-endpoint.md) Para obtener información sobre la configuración de una puerta de enlace NAT para su VPC, consulte [VPC with public and private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener información sobre los grupos de seguridad, consulte [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Para obtener más información sobre las configuraciones de red en cada modo de red y la configuración de la red local, consulte [Descripción de las configuraciones de red de las instancias de SageMaker notebook de Amazon y las opciones de enrutamiento avanzadas](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/).
**aviso**
Al usar una VPC para su instancia de notebook, usted es propietario parcial de la configuración de red de la instancia. La práctica de seguridad recomendada es aplicar permisos de privilegio mínimo al acceso entrante y saliente que proporcionan las reglas del grupo de seguridad. Si aplica configuraciones de reglas de entrada demasiado permisivas, los usuarios que tengan acceso a su VPC podrían acceder a sus cuadernos de Jupyter sin autenticarse.
## Seguridad e instancias compartidas de cuaderno
Una instancia de SageMaker notebook está diseñada para que funcione mejor para un usuario individual. Se ha diseñado para proporcionar a los analizadores de datos y a otros usuarios la mayor potencia de administración del entorno de desarrollo.
Un usuario de instancia de bloc de notas dispone de acceso raíz para la instalación de paquetes y otro software pertinente. Le recomendamos que decida cuándo conceder a las personas acceso a las instancias de bloc de notas asociadas a una VPC que contenga información confidencial. Por ejemplo, es posible que desee conceder a un usuario acceso a una instancia de cuaderno con una política de IAM al darle la capacidad de crear una URL de cuaderno prefirmada, tal como se muestra en el siguiente ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------
# Ejecución de contenedores de entrenamiento e inferencia en modo con acceso a Internet
SageMaker El entrenamiento de IA y los contenedores de inferencia implementados están habilitados para Internet de forma predeterminada. Esto permite a los contenedores acceder a servicios externos y recursos en la red de Internet pública como parte de sus cargas de trabajo de capacitación e inferencia. Sin embargo, esto podría proporcionar una vía de acceso no autorizado a los datos. Por ejemplo, un código o usuario maliciosos que instale accidentalmente en el contenedor (en forma de biblioteca de código fuente a disposición del público en general) podría acceder a sus datos y transferirlos a un host remoto.
Si utiliza una Amazon VPC especificando un valor para el parámetro `VpcConfig` cuando llama a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) o [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), puede proteger sus datos y recursos mediante la administración de los grupos de seguridad y la limitación del acceso a Internet desde su VPC. Sin embargo, esto se hace a expensas de una configuración de red adicional y conlleva el riesgo de que la red se configure de forma incorrecta. Si no desea que la SageMaker IA proporcione acceso a una red externa a sus contenedores de formación o inferencia, puede habilitar el aislamiento de la red.
## Aislamiento de red
Puede habilitar el aislamiento de redes al crear su trabajo o modelo de entrenamiento si configura el valor del parámetro `EnableNetworkIsolation` en `True` cuando llame a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) o [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
**nota**
El aislamiento de redes es necesario para modelos y trabajos de entrenamiento que se ejecutan usando recursos de AWS Marketplace. Para mayor seguridad, AWS Marketplace las imágenes se ejecutan en una Amazon VPC. Solo tienen acceso a los datos de sus sistemas de archivos locales.
Cuando habilita el aislamiento de la red, sus contenedores de formación e inferencia no pueden realizar llamadas de red salientes a ningún servicio, incluido Amazon S3. No hay AWS credenciales disponibles para el entorno de ejecución del contenedor. En el caso de los trabajos de formación con varias instancias, el tráfico entrante y saliente de la red se limita a la comunicación entre los compañeros del contenedor de formación.
SageMaker La IA sigue gestionando todas las operaciones de descarga y carga necesarias de Amazon S3 utilizando su función de ejecución de SageMaker IA. Esto ocurre independientemente de los contenedores de entrenamiento e inferencia, lo que garantiza que los datos de entrenamiento y los artefactos del modelo sigan siendo accesibles y, al mismo tiempo, se mantiene el aislamiento de los contenedores.
Los siguientes contenedores de SageMaker IA gestionados no admiten el aislamiento de la red porque requieren acceso a Amazon S3:
+ Chainer
+ SageMaker Aprendizaje reforzado con IA
### Aislamiento de redes con una VPC
El aislamiento de redes se puede utilizar junto con una VPC. En ese caso, la descarga y carga de los datos del cliente y los artefactos del modelo se dirigen a través de la subred de VPC. Sin embargo, los contenedores de capacitación e inferencia en sí siguen estando aislados de la red; no tienen acceso a ningún recurso dentro de su VPC o en Internet.
# Conéctese a la SageMaker IA desde su VPC
Puede conectarse directamente a la SageMaker API o a Amazon SageMaker Runtime a través de un [punto de enlace de interfaz](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Cuando utiliza un punto final de interfaz de VPC, la comunicación entre su VPC y la API de SageMaker IA o el tiempo de ejecución se lleva a cabo de forma completa y segura dentro de una red. AWS
## Conéctese a la SageMaker IA a través de un punto final de interfaz de VPC
La SageMaker API y SageMaker AI Runtime son compatibles con los puntos de conexión de la interfaz [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) que funcionan con la tecnología. [AWS PrivateLink](https://aws.amazon.com/privatelink) Cada punto de conexión de VPC está representado por una o varias [interfaces de red elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con direcciones IP privadas en las subredes de la VPC. Por ejemplo, una aplicación dentro de su VPC se utiliza AWS PrivateLink para comunicarse con SageMaker AI Runtime. SageMaker AI Runtime, a su vez, se comunica con el punto final de SageMaker IA. AWS PrivateLink El uso le permite invocar su punto final de SageMaker IA desde su VPC, como se muestra en el siguiente diagrama.
![\[\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/images/security-vpc-SM.png)
El punto final de la interfaz de VPC conecta su VPC directamente a la SageMaker API o SageMaker AI Runtime AWS PrivateLink sin utilizar una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Las instancias de su VPC no necesitan conectarse a la Internet pública para comunicarse con la SageMaker API o SageMaker AI Runtime.
Puede crear un punto final de AWS PrivateLink interfaz para conectarse a SageMaker AI o SageMaker AI Runtime mediante Consola de administración de AWS o AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte [Acceder a un AWS servicio mediante un punto final de VPC de interfaz](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Si no ha habilitado un nombre de host del Sistema de nombres de dominio (DNS) privado para su punto de enlace de VPC*, después de crear un punto de enlace de VPC*, especifique la URL del punto de conexión de Internet a SageMaker la API o AI Runtime. SageMaker A continuación, se muestra un ejemplo de código que utiliza AWS CLI comandos para especificar el parámetro`endpoint-url`.
```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Si habilita los nombres de host DNS privados para su punto de enlace de VPC, no necesita especificar la URL del punto de enlace porque es el nombre de host predeterminado (https://api.sagemaker). *Region*.amazon.com) se resuelve en tu punto final de VPC. Del mismo modo, el nombre de host DNS predeterminado de SageMaker AI Runtime (https://runtime.sagemaker). *Region*.amazonaws.com) también se resuelve en tu punto de conexión de VPC.
[La SageMaker API y SageMaker AI Runtime admiten puntos de enlace de VPC en todos los lugares donde Regiones de AWS Amazon [VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) y AI estén disponibles. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) SageMaker La IA permite realizar llamadas a todas las que están [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)dentro de su VPC. Si utiliza la `AuthorizedUrl` del comando [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html), su tráfico pasará por la red pública de Internet. No puede utilizar únicamente un punto de conexión de VPC para acceder a la URL prefirmada; la solicitud debe pasar por la puerta de enlace de Internet.
De forma predeterminada, los usuarios pueden compartir la URL prefirmada con personas que están fuera de la red corporativa. Para mejorar la seguridad, debe añadir permisos de IAM para que la URL solo pueda utilizarse en su red. Para obtener información sobre los permisos de IAM, consulta [Cómo AWS PrivateLink funciona con](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html) IAM.
**nota**
Al configurar un punto final de interfaz de VPC para el servicio SageMaker AI Runtime (https://runtime.sagemaker). `Region`.amazonaws.com), debe asegurarse de que el punto final de la interfaz de VPC esté activado en la zona de disponibilidad de su cliente para que funcione la resolución de DNS privado. De lo contrario, es posible que se produzcan errores de DNS al intentar resolver la URL.
[Para obtener más información AWS PrivateLink, consulte la documentación.AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Consulte [Precios de AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/) para conocer el precio de los puntos de conexión de VPC. Para obtener más información sobre la VPC y los puntos de enlace, visite [Amazon VPC](https://aws.amazon.com/vpc/). Para obtener información sobre cómo utilizar AWS Identity and Access Management las políticas basadas en la identidad para restringir el acceso a la SageMaker API y a SageMaker AI Runtime, consulte. [Controle el acceso a la API de SageMaker IA mediante políticas basadas en la identidad](security_iam_id-based-policy-examples.md#api-access-policy)
## Uso de la SageMaker formación y el alojamiento con recursos dentro de su VPC
SageMaker La IA utiliza su función de ejecución para descargar y cargar información de un bucket de Amazon S3 y del Amazon Elastic Container Registry (Amazon ECR), de forma aislada de su contenedor de entrenamiento o inferencia. Si tiene recursos que se encuentran dentro de su VPC, aún puede conceder a la SageMaker IA acceso a esos recursos. En las siguientes secciones se explica cómo poner sus recursos a disposición de la SageMaker IA con o sin aislamiento de red.
### Sin aislamiento de redes habilitado
Si no has establecido el aislamiento de la red en tu trabajo o modelo de formación, la SageMaker IA puede acceder a los recursos mediante cualquiera de los siguientes métodos.
+ SageMaker Los contenedores de inferencia de formación e implementados pueden acceder a Internet de forma predeterminada. SageMaker Los contenedores de IA pueden acceder a servicios y recursos externos en la Internet pública como parte de sus cargas de trabajo de formación e inferencia. SageMaker Los contenedores de IA no pueden acceder a los recursos de la VPC sin una configuración de VPC, como se muestra en la siguiente ilustración.
![\[\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Utilice una configuración de VPC para comunicarse con los recursos de su VPC mediante una interfaz de red elástica (ENI). La comunicación entre el contenedor y los recursos de la VPC se lleva a cabo de forma segura dentro de la red de VPC, como se muestra en la siguiente ilustración. En este caso, usted administra el acceso de red a los recursos de su VPC e Internet.
![\[\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/images/security-vpc-config.png)
### Con aislamiento de redes
Si emplea el aislamiento de red, el contenedor de SageMaker IA no puede comunicarse con los recursos de la VPC ni realizar llamadas de red, como se muestra en la siguiente ilustración. Si proporciona una configuración de VPC, las operaciones de descarga y carga se ejecutarán a través de su VPC. Para obtener más información sobre el alojamiento y el entrenamiento con aislamiento de redes mientras se utiliza una VPC, consulte [Aislamiento de red](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation).
![\[\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/images/security-network-isolation-no-config.png)
## Cree una política de puntos finales de VPC para IA SageMaker
Puede crear una política para los puntos de enlace de Amazon VPC para SageMaker IA con el fin de especificar lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Controlar el acceso a servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
**nota**
Las políticas de punto final de VPC no son compatibles con los puntos de enlace de tiempo de ejecución de SageMaker IA del Estándar Federal de Procesamiento de Información (FIPS). [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
El siguiente ejemplo de política de punto final de VPC especifica que todos los usuarios que tienen acceso al punto final de la interfaz de VPC pueden invocar el SageMaker punto final hospedado por IA denominado. `myEndpoint`
```
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}
```
En este ejemplo, los siguientes se deniegan:
+ Otras acciones SageMaker de la API, como y. `sagemaker:CreateEndpoint` `sagemaker:CreateTrainingJob`
+ Invocar puntos finales alojados en SageMaker IA distintos de. `myEndpoint`
**nota**
En este ejemplo, los usuarios pueden seguir realizando otras acciones de SageMaker API desde fuera de la VPC. Para obtener información acerca de cómo restringir las llamadas a la API a estos desde la VPC, consulte [Controle el acceso a la API de SageMaker IA mediante políticas basadas en la identidad](security_iam_id-based-policy-examples.md#api-access-policy).
## Cree una política de puntos de conexión de VPC para Amazon Feature Store SageMaker
Para crear un punto de enlace de VPC para Amazon SageMaker Feature Store, utilice la siguiente plantilla de punto de enlace y sustituya la suya por: *VPC\$1Endpoint\$1ID.api* *Region*
`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`
# Conéctese a Amazon SageMaker Studio y Studio Classic a través de un punto de conexión de VPC de interfaz
Puede conectarse a Amazon SageMaker Studio y Amazon SageMaker Studio Classic desde su Amazon [Virtual Private Cloud (Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) VPC) a través de un [punto de enlace de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) en su VPC en lugar de conectarse a través de Internet. Cuando utiliza un punto final de la interfaz de la VPC (punto final de la interfaz), la comunicación entre la VPC y Studio o Studio Classic se lleva a cabo de forma completa y segura dentro de la red. AWS
Studio y Studio Classic admiten puntos de conexión de interfaz basados en [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html). Cada punto de conexión de interfaz está representado por una o varias [interfaces de red elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con direcciones IP privadas en las subredes de la VPC.
Studio y Studio Classic admiten puntos de enlace de interfaz en todas AWS las regiones en las que [están SageMaker disponibles Amazon AI](https://aws.amazon.com/sagemaker/pricing/) y [Amazon VPC](https://aws.amazon.com/vpc/pricing/).
**Topics**
+ [Crear un punto de enlace de la VPC](#studio-interface-endpoint-create)
+ [Creación de una política de punto de conexión de VPC para Studio o Studio Classic](#studio-private-link-policy)
+ [Permitir el acceso solo desde su VPC](#studio-private-link-restrict)
## Crear un punto de enlace de la VPC
Puede crear un punto final de interfaz para conectarse a Studio o Studio Classic con la AWS consola o con AWS Command Line Interface ()AWS CLI. Para obtener instrucciones, consulte [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Asegúrese de crear puntos de conexión de interfaz para todas las subredes de la VPC desde la que desea conectarse a Studio y Studio Classic.
Al crear un punto de conexión de interfaz, asegúrese de que los grupos de seguridad de su punto de conexión permitan el acceso entrante al tráfico HTTPS desde los grupos de seguridad asociados a Studio y Studio Classic. Para obtener más información, consulte [Control access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**nota**
Además de crear un punto final de interfaz para conectarse a Studio y Studio Classic, cree un punto final de interfaz para conectarse a la SageMaker API de Amazon. Cuando los usuarios llaman [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)para obtener la URL para conectarse a Studio y Studio Classic, esa llamada pasa por el punto final de la interfaz utilizado para conectarse a la SageMaker API.
Cuando cree el punto de conexión de interfaz, especifique **aws.sagemaker.*Region*.studio** como nombre del servicio para Studio o Studio Classic. Después de crear un punto de conexión de interfaz, habilite un DNS privado para su punto de conexión. Cuando te conectas a Studio o Studio Classic desde la VPC mediante la SageMaker API, la o la consola, te conectas a través del punto final de la interfaz en lugar de a través de la Internet pública. AWS CLI También debe configurar un DNS personalizado con zonas alojadas privadas para el punto de enlace de Amazon VPC, de modo que Studio o Studio Classic puedan acceder a la SageMaker API mediante el punto de enlace en lugar de utilizar la `api.sagemaker.$region.amazonaws.com` URL del punto de enlace de la VPC. Para obtener instrucciones sobre la configuración de una zona alojada privada, consulte [Uso de zonas alojadas privadas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html).
## Creación de una política de punto de conexión de VPC para Studio o Studio Classic
Puede asociar una política de puntos de conexión de Amazon VPC a los puntos de conexión de VPC de interfaz que utilice para conectarse a Studio o Studio Classic. La política de puntos de conexión controla el acceso a Studio o Studio Classic. Puede especificar lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para usar un punto de conexión de VPC con Studio o Studio Classic, la política de punto final debe permitir la `CreateApp` operación en el tipo de KernelGateway aplicación. Esto permite que el tráfico que se enruta a través del punto de conexión de VPC llame a la API `CreateApp`. En el siguiente ejemplo de política de punto de conexión de VPC se muestra cómo permitir la operación `CreateApp`.
```
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}
```
Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
El siguiente ejemplo de una política de punto final de VPC especifica que todos los usuarios que tienen acceso al punto final pueden acceder a los perfiles de usuario del dominio de SageMaker IA con el ID de dominio especificado. Se deniega el acceso a otros dominios.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}
```
## Permitir el acceso solo desde su VPC
Los usuarios ajenos a su VPC pueden conectarse a Studio o Studio Classic a través de Internet, incluso si ha configurado un punto de conexión de interfaz en su VPC.
Para permitir el acceso únicamente a las conexiones realizadas desde su VPC, cree una política de AWS Identity and Access Management (IAM) a tal efecto. Añada dicha política a todos los usuarios, grupos o roles que se han utilizado para obtener acceso a Studio o Studio Classic. Esta característica solo se admite cuando se utiliza el modo IAM para la autenticación y no en el modo IAM Identity Center. En los siguientes ejemplos se muestra cómo crear dichas políticas.
**importante**
Si aplicas una política de IAM similar a uno de los siguientes ejemplos, los usuarios no podrán acceder a Studio o Studio Classic ni a las especificadas SageMaker APIs a través de la consola de SageMaker IA. Para acceder a Studio o Studio Classic, los usuarios deben usar una URL prefirmada o llamarlos directamente. SageMaker APIs
**Ejemplo 1: Permitir las conexiones solo dentro de la subred de un punto de conexión de interfaz**
La siguiente política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de conexión de interfaz.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
**Ejemplo 2: Permitir las conexiones solo a través de los puntos de conexión de la interfaz mediante `aws:sourceVpce`**
La siguiente política solo permite las conexiones que se realizan a través de los puntos de conexión de interfaz especificados en la clave de condición `aws:sourceVpce`. Por ejemplo, el primer punto final de la interfaz podría permitir el acceso a través de la consola de SageMaker IA. El segundo punto final de la interfaz podría permitir el acceso a través de la SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
La política incluye la acción [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html). Normalmente, se llama a `DescribeUserProfile` para comprobar que el estado del perfil de usuario es `InService` antes de intentar conectarse al dominio. Por ejemplo:
```
aws sagemaker describe-user-profile \
--domain-id domain-id \
--user-profile-name profile-name
```
Respuesta:
```
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}
```
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name
```
Respuesta:
```
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}
```
Para estas dos llamadas, si utilizas una versión del AWS SDK publicada antes del 13 de agosto de 2018, debes especificar la URL del punto de conexión en la llamada. Por ejemplo, en el siguiente ejemplo se muestra una llamada a `create-presigned-domain-url`:
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name \
--endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
```
**Ejemplo 3: Permitir las conexiones desde las direcciones IP mediante `aws:SourceIp`**
La siguiente política permite las conexiones solo desde el rango especificado de direcciones IP mediante la clave de condición `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Ejemplo 4: Permitir las conexiones desde las direcciones IP a través de un punto de conexión de interfaz mediante `aws:VpcSourceIp`**
Si accede a Studio o Studio Classic a través de un punto de conexión de interfaz, puede utilizar la clave de condición `aws:VpcSourceIp` para permitir las conexiones únicamente desde el rango especificado de direcciones IP dentro de la subred en la que creó el punto de conexión de la interfaz, como se muestra en la siguiente política:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Conexión a un servidor MLflow de seguimiento a través de un punto final de VPC de interfaz
El servidor MLflow de seguimiento se ejecuta en una Amazon Virtual Private Cloud gestionada por Amazon SageMaker AI. Puede conectarse a un servidor MLflow de seguimiento desde un punto final de su propia VPC. Las solicitudes que se envían al servidor de seguimiento no se exponen a la red pública de Internet. Para obtener más información sobre cómo conectar la VPC a la SageMaker IA, consulte. [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md)
**Topics**
+ [Crear un punto de enlace de la VPC](mlflow-interface-endpoint-create.md)
+ [Cree una política de puntos finales de VPC para IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Concesión de acceso únicamente desde su VPC](mlflow-private-link-restrict.md)
# Crear un punto de enlace de la VPC
Puede crear un punto final de interfaz para conectarse a la SageMaker IA MLflow. Para obtener instrucciones, consulte [Creating an interface endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Asegúrese de crear puntos de conexión de interfaz para todas las subredes de la VPC desde las que desee conectarse a la IA. SageMaker MLflow
Al crear un punto de conexión de interfaz, asegúrese de que los grupos de seguridad de su punto de conexión permitan el acceso entrante al tráfico HTTPS. Para obtener más información, consulte [Control access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**nota**
Además de crear un punto final de interfaz para conectarse a la SageMaker IA MLflow, cree un punto final de interfaz para conectarse a la SageMaker API de Amazon. Cuando los usuarios llaman [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)para obtener la URL para conectarse a la SageMaker IA MLflow, esa llamada pasa por el punto final de la interfaz utilizado para conectarse a la SageMaker API.
Cuando cree el punto de conexión de interfaz, especifique **aws.sagemaker.*Región de AWS*.experiments** como nombre del servicio. Después de crear un punto de conexión de interfaz, habilite un DNS privado para su punto de conexión. Cuando te conectas a la SageMaker IA MLflow desde la VPC mediante el SDK de SageMaker Python, te conectas a través del punto final de la interfaz en lugar de a través de la Internet pública.
Dentro de Consola de administración de AWS, puedes usar el siguiente procedimiento para crear un punto final.
**Creación de un punto de conexión**
1. Navegue hasta la [consola de Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).
1. Navegue hasta **Puntos de conexión**.
1. Seleccione **Crear punto de conexión**.
1. (Opcional) En **Nombre (etiqueta)**, especifique un nombre de etiqueta para el punto de conexión.
1. En la barra de búsqueda situada bajo **Servicios**, especifique **Experimentos**.
1. Seleccione el punto de conexión que va a crear.
1. En **VPC**, especifique el nombre de la VPC.
1. Seleccione **Crear punto de conexión**.
# Cree una política de puntos finales de VPC para IA SageMaker MLflow
Puede adjuntar una política de puntos de conexión de Amazon VPC a los puntos de enlace de la interfaz de VPC que utilice para conectarse a la IA. SageMaker MLflow La política de puntos finales controla el acceso a. MLflow Puede especificar lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
El siguiente ejemplo de una política de punto final de VPC especifica que todos los usuarios que tienen acceso al punto final pueden acceder al servidor MLflow de seguimiento que especifique. Se deniega el acceso a otros servidores de seguimiento.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Región de AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Concesión de acceso únicamente desde su VPC
Los usuarios ajenos a su VPC pueden conectarse a la SageMaker IA MLflow o a través de Internet, incluso si configura un punto final de interfaz en su VPC.
Para permitir el acceso únicamente a las conexiones realizadas desde su VPC, cree una política de AWS Identity and Access Management (IAM) a tal efecto. Añada esa política a cada usuario, grupo o función que utilice para acceder SageMaker a la IA. MLflow Esta característica solo se admite cuando se utiliza el modo IAM para la autenticación y no en el modo IAM Identity Center. En los siguientes ejemplos se muestra cómo crear dichas políticas.
**importante**
Si aplicas una política de IAM similar a uno de los siguientes ejemplos, los usuarios no podrán acceder a la SageMaker IA a MLflow través de la especificada a SageMaker APIs través de la consola de SageMaker IA. Para acceder a la SageMaker IA MLflow, los usuarios deben utilizar una URL prefirmada o llamarla directamente. SageMaker APIs
**Ejemplo 1: Permitir las conexiones solo dentro de la subred de un punto de conexión de interfaz**
La siguiente política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de conexión de interfaz.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Ejemplo 2: Permitir las conexiones solo a través de los puntos de conexión de la interfaz mediante `aws:sourceVpce`**
La siguiente política solo permite las conexiones que se realizan a través de los puntos de conexión de interfaz especificados en la clave de condición `aws:sourceVpce`. Por ejemplo, el primer punto final de la interfaz podría permitir el acceso a través de la consola de SageMaker IA. El segundo punto final de la interfaz podría permitir el acceso a través de la SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Ejemplo 3: Permitir las conexiones desde las direcciones IP mediante `aws:SourceIp`**
La siguiente política permite las conexiones solo desde el rango especificado de direcciones IP mediante la clave de condición `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Ejemplo 4: Permitir las conexiones desde las direcciones IP a través de un punto de conexión de interfaz mediante `aws:VpcSourceIp`**
Si accede a la SageMaker IA a MLflow través de un punto final de la interfaz, puede usar la clave de `aws:VpcSourceIp` condición para permitir las conexiones únicamente desde el rango especificado de direcciones IP dentro de la subred en la que creó el punto final de la interfaz, como se muestra en la siguiente política:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Conexión a una instancia de bloc de notas a través de un punto de enlace de interfaz de VPC
Puede conectarse a su instancia de cuaderno desde su VPC a través de un [punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Cuando se utiliza un punto de conexión de interfaz de la VPC, la comunicación entre la VPC y la instancia de cuaderno se realiza en su totalidad y de forma segura dentro de la red de AWS .
SageMaker las instancias de notebook son compatibles con los puntos de enlace de la interfaz [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) que funcionan con la tecnología de. [AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Cada punto de conexión de VPC está representado por una o varias [interfaces de red elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con direcciones IP privadas en las subredes de la VPC.
**nota**
Antes de crear un punto de enlace de VPC de interfaz para conectarse a una instancia de notebook, cree un punto de enlace de VPC de interfaz para conectarse a la API. SageMaker De esta forma, cuando los usuarios llaman a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) para obtener la dirección URL para conectarse a la instancia de cuaderno, dicha llamada también pasa por el punto de conexión de VPC de interfaz. Para obtener información, consulte [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md).
Puedes crear un punto final de interfaz para conectarlo a tu instancia de notebook con los comandos Consola de administración de AWS o AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte [Creating an Interface Endpoint](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint). Asegúrese de crear un punto de enlace de interfaz para todas las subredes de la VPC desde la que desea conectarse a la instancia del bloc de notas.
Al crear el punto final de la interfaz, especifique **aws.sagemaker. *Region*.notebook como nombre** del servicio. Después de crear un punto de enlace de la VPC, habilite DNS privado para el punto de enlace de la VPC. Cualquier persona que utilice la SageMaker API AWS CLI, la consola o la consola para conectarse a la instancia de notebook desde la VPC se conecta a la instancia de notebook a través del punto de enlace de la VPC en lugar de a través de la Internet pública.
SageMaker [las instancias de notebook admiten puntos de enlace de VPC en todos los lugares Regiones de AWS donde estén disponibles Amazon [VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) y AI. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region)
**Topics**
+ [Conexión de su red privada a su VPC](#notebook-private-link-vpn-nbi)
+ [Cree una política de puntos finales de VPC para instancias de SageMaker AI Notebook](#nbi-private-link-policy)
+ [Restricción del acceso a conexiones desde la VPC](#notebook-private-link-restrict)
## Conexión de su red privada a su VPC
Para conectarse a su instancia de notebook a través de su VPC, debe conectarse desde una instancia que esté dentro de la VPC o conectar su red privada a su VPC mediante un () o. AWS Virtual Private Network Site-to-Site VPN Direct Connect Para obtener más información Site-to-Site VPN, consulte [Conexiones VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener más información AWS Direct Connect, consulte [Creación de una conexión](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) en la *Guía del usuario de AWS Direct Connect*.
## Cree una política de puntos finales de VPC para instancias de SageMaker AI Notebook
Puedes crear una política para los puntos de enlace de Amazon VPC para instancias de SageMaker notebook con el fin de especificar lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Controlar el acceso a servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
A continuación, se muestra un ejemplo de política de punto de enlace de la VPC que especifica que todos los usuarios que tienen acceso al punto de enlace pueden obtener acceso a la instancia de bloc de notas denominada `myNotebookInstance`.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
"Principal": "*"
}
]
}
```
El acceso a otras instancias de bloc de notas se deniega.
## Restricción del acceso a conexiones desde la VPC
Incluso si configura un punto de enlace de interfaz en la VPC, las personas de fuera de la VPC puede conectarse a la instancia de bloc de notas a través de Internet.
**importante**
Si aplica una política de IAM similar a una de las siguientes, los usuarios no podrán acceder a la instancia especificada SageMaker APIs ni a la instancia de notebook a través de la consola.
Para restringir el acceso solo a las conexiones realizadas desde la VPC, cree una política de AWS Identity and Access Management que restrinja el acceso solo a las llamadas que proceden de dentro de la VPC. A continuación, añada esa política a cada AWS Identity and Access Management usuario, grupo o rol que utilice para acceder a la instancia de notebook.
**nota**
Esta política únicamente permite las conexiones a los intermediarios que se encuentren dentro de una subred en la que se haya creado un punto de enlace de interfaz.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Si desea restringir el acceso a la instancia de cuaderno únicamente a conexiones realizadas mediante el punto de conexión de interfaz, utilice la clave de condición `aws:SourceVpce` en lugar de `aws:SourceVpc:`.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
En estos dos ejemplos de políticas se supone que también has creado un punto final de interfaz para la SageMaker API. Para obtener más información, consulte [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md). En el segundo ejemplo, uno de los valores de `aws:SourceVpce` es el ID del punto de enlace de la interfaz para la instancia de bloc de notas. El otro es el ID del punto final de la interfaz de la SageMaker API.
Aquí, los ejemplos de políticas incluyen [
DescribeNotebookInstance](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) porque normalmente llamaría a `DescribeNotebookInstance` para asegurarse de que `NotebookInstanceStatus` esté `InService` antes de intentar conectarse a la instancia. Por ejemplo:
```
aws sagemaker describe-notebook-instance \
--notebook-instance-name myNotebookInstance
{
"NotebookInstanceArn":
"arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
"NotebookInstanceName": "myNotebookInstance",
"NotebookInstanceStatus": "InService",
"Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
"InstanceType": "ml.m4.xlarge",
"RoleArn":
"arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
"LastModifiedTime": 1540334777.501,
"CreationTime": 1523050674.078,
"DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
{
"AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
```
**nota**
La `presigned-notebook-instance-url`, `AuthorizedUrl`, generada se puede utilizar desde cualquier lugar de Internet.
Para estas dos llamadas, si no habilitó los nombres de host DNS privados para su punto de enlace de VPC o si utiliza una versión del SDK publicada antes AWS del 13 de agosto de 2018, debe especificar la URL del punto de conexión en la llamada. Por ejemplo, la llamada a `create-presigned-notebook-instance-url` es:
```
aws sagemaker create-presigned-notebook-instance-url
--notebook-instance-name myNotebookInstance --endpoint-url
VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
```
## Conexión de su red privada a su VPC
Para llamar a la SageMaker API y a SageMaker AI Runtime a través de su VPC, debe conectarse desde una instancia que esté dentro de la VPC o conectar su red privada a su VPC mediante un () o. AWS Virtual Private Network Site-to-Site VPN Direct Connect Para obtener más información Site-to-Site VPN, consulte [Conexiones VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener más información AWS Direct Connect, consulte [Creación de una conexión](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) en la *Guía del usuario de AWS Direct Connect*.
# Ofrezca a la SageMaker IA acceso a los recursos de su Amazon VPC
SageMaker De forma predeterminada, AI ejecuta los siguientes tipos de trabajo en Amazon Virtual Private Cloud.
+ Procesando
+ Formación
+ Alojamiento de modelos
+ Transformación por lotes
+ Amazon SageMaker Clarify
+ SageMaker Compilación de IA
Sin embargo, los contenedores para estos trabajos acceden a AWS los recursos, como los depósitos de Amazon Simple Storage Service (Amazon S3), donde se almacenan los datos de entrenamiento y se modelan artefactos, a través de Internet.
Para controlar el acceso a sus datos y contenedores de trabajos, se recomienda crear una VPC privada y configurarla de manera que no se pueda obtener acceso a ellos a través de Internet. Para obtener información sobre la creación y configuración de una VPC, consulte [Introducción a Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html) en la *Guía del usuario de Amazon VPC*. Usar una VPC ayuda a proteger sus datos y contenedores de trabajos, ya que puede configurar la VPC de manera que no se conecte a Internet. Utilizar una VPC también le permite supervisar todo el tráfico de red dentro y fuera de sus contenedores de trabajos mediante registros de flujo de la VPC. Para obtener más información, consulte [Logs de flujo de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.
Especifique la configuración privada de la VPC cuando cree trabajos especificando subredes y grupos de seguridad. Al especificar las subredes y los grupos de seguridad, la SageMaker IA crea *interfaces de red elásticas* que se asocian a los grupos de seguridad de una de las subredes. Las interfaces de red elásticas permiten a sus contenedores de trabajos conectarse a los recursos en la VPC. Para obtener más información sobre las interfaces de red, consulte [Interfaces de red elásticas](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) en la *Guía del usuario de Amazon VPC*.
Debe especificar una configuración de VPC dentro del `VpcConfig` objeto de la [CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)operación u [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)operación. Al especificar una configuración de VPC al crear un trabajo de entrenamiento, el modelo tiene acceso a recursos de la VPC.
El hecho de especificar una configuración de VPC no cambia la ruta de invocación. Para conectarse a Amazon SageMaker AI dentro de una VPC, cree un punto de enlace de VPC e invoquelo. Para obtener más información, consulte [Conéctese a la SageMaker IA desde su VPC](interface-vpc-endpoint.md).
**Topics**
+ [Ofrezca a los trabajos de procesamiento de SageMaker IA acceso a los recursos de su Amazon VPC](process-vpc.md)
+ [Ofrezca a los trabajos de formación en SageMaker IA acceso a los recursos de su Amazon VPC](train-vpc.md)
+ [Ofrezca a los puntos de conexión alojados en SageMaker IA acceso a los recursos de su Amazon VPC](host-vpc.md)
+ [Conceder acceso a los trabajos de transformación por lotes a los recursos de su Amazon VPC](batch-vpc.md)
+ [Ofrezca a Amazon SageMaker Clarify Jobs acceso a los recursos de su Amazon VPC](clarify-vpc.md)
+ [Ofrezca a los trabajos de compilación de SageMaker IA acceso a los recursos de su Amazon VPC](neo-vpc.md)
+ [Conceder a los trabajos del recomendador de inferencias acceso a los recursos de su Amazon VPC](inference-recommender-vpc-access.md)
# Ofrezca a los trabajos de procesamiento de SageMaker IA acceso a los recursos de su Amazon VPC
Para controlar el acceso a sus datos y trabajos de procesamiento, cree una Amazon VPC con subredes privadas. Para obtener información sobre la creación y configuración de una VPC, consulte [Introducción a Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) en la *Guía del usuario de Amazon VPC*.
Puede supervisar todo el tráfico de red dentro y fuera de sus contenedores de procesamiento mediante registros de flujo de la VPC. Para obtener más información, consulte [Logs de flujo de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) en la *Guía del usuario de Amazon VPC*.
En este documento se explica cómo agregar configuraciones de Amazon VPC para trabajos de procesamiento.
## Configurar un trabajo de procesamiento para el acceso a Amazon VPC
Para configurar el trabajo de procesamiento, especifique las subredes y el grupo de seguridad IDs de la VPC. No es necesario especificar la subred para el contenedor de procesamiento. Amazon SageMaker AI extrae automáticamente el contenedor de procesamiento de Amazon ECR. Para obtener más información sobre los contenedores de procesamiento, consulte [Cargas de trabajo de transformación de datos con procesamiento SageMaker](processing-job.md).
Al crear un trabajo de procesamiento, puede especificar subredes y grupos de seguridad en su VPC mediante la consola de IA o SageMaker la API.
Para usar la API, debe especificar las subredes y el grupo de seguridad IDs en el `NetworkConfig.VpcConfig` parámetro de la operación. [ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) SageMaker La IA utiliza los detalles de la subred y el grupo de seguridad para crear las interfaces de red y las conecta a los contenedores de procesamiento. Las interfaces de red proporcionan a sus contenedores de procesamiento una conexión de red en su VPC. Esto permite que el trabajo de procesamiento se conecte a los recursos que existen en la VPC.
A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a la operación `CreateProcessingJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure su VPC privada para SageMaker el procesamiento de IA
Al configurar la VPC privada para sus trabajos de procesamiento de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#process-vpc-ip)
+ [Creación de un punto de conexión de VPC de Amazon S3](#process-vpc-s3)
+ [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#process-vpc-policy)
+ [Configurar tablas de ruteo](#process-vpc-route-table)
+ [Configurar el grupo de seguridad de la VPC](#process-vpc-groups)
+ [Conexión a recursos fuera de la VPC](#process-vpc-nat)
+ [Supervisa los trabajos SageMaker de procesamiento de Amazon con CloudWatch registros y métricas](#process-vpc-cloudwatch)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las subredes de la VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de procesamiento. Para obtener más información, consulte [Dimensionamiento de subredes y VPC en la Guía](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) del usuario de IPv4 Amazon *VPC*.
### Creación de un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de procesamiento no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de procesamiento obtener acceso a los buckets en los que almacena los datos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de enlace de la VPC de S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para el **nombre del servicio**, elija com.amazonaws. *region*.s3**, donde *region* es el nombre de la región en la que reside la VPC.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
1. En **Policy (Política)**, elija **Full Access (Acceso completo)** para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija **Personalizado** para restringir el acceso más. Para obtener información, consulte [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#process-vpc-policy).
### Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Limitar la instalación de paquetes en el contenedor de procesamiento
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el contenedor de procesamiento. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de procesamiento se resuelva configurando las tablas de enrutamiento de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Configurar el grupo de seguridad de la VPC
En el procesamiento distribuido, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de procesamiento. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Conexión a recursos fuera de la VPC
Si va a conectar sus modelos a recursos externos a la VPC en la que se ejecutan, realice una de las siguientes acciones:
+ **Conéctese a otros AWS servicios**: si su modelo necesita acceder a un AWS servicio que admita los puntos de enlace de la interfaz de Amazon VPC, cree un punto de enlace para conectarse a ese servicio. Para obtener una lista de los servicios que admiten los puntos finales de la interfaz, consulte [AWS los servicios que se integran AWS PrivateLink en la Guía](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) del AWS PrivateLink usuario. Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte [Acceder a un AWS servicio mediante un punto de enlace de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) de interfaz en la Guía del usuario. AWS PrivateLink
+ **Conéctese a los recursos a través de Internet**: si sus modelos se ejecutan en instancias de una Amazon VPC que no tiene una subred con acceso a Internet, los modelos no tendrán acceso a los recursos de Internet. Si su modelo necesita acceder a un AWS servicio que no admite puntos finales de VPC de interfaz o a un recurso externo AWS, asegúrese de ejecutar sus modelos en una subred privada que tenga acceso a Internet mediante una puerta de enlace NAT pública en una subred pública. Una vez que haya ejecutado sus modelos en la subred privada, configure los grupos de seguridad y las listas de control de acceso a la red (NACLs) para permitir las conexiones salientes desde la subred privada a la puerta de enlace NAT pública de la subred pública. Para obtener más información, consulte [Gateways NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) en la Guía del usuario de Amazon VPC.
### Supervisa los trabajos SageMaker de procesamiento de Amazon con CloudWatch registros y métricas
Amazon SageMaker AI proporciona CloudWatch registros y métricas de Amazon para supervisar los trabajos de formación. CloudWatch proporciona métricas de CPU, GPU, memoria, memoria de GPU y disco, y registro de eventos. Para obtener más información sobre la supervisión de los trabajos SageMaker de procesamiento de Amazon, consulta [Métricas de Amazon SageMaker AI en Amazon CloudWatch](monitoring-cloudwatch.md) y[SageMaker Métricas de trabajo de IA](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Ofrezca a los trabajos de formación en SageMaker IA acceso a los recursos de su Amazon VPC
**nota**
Para trabajos de capacitación, puede configurar subredes solo con una VPC de tenencia predeterminada en la que la instancia se ejecuta en hardware compartido. Para obtener más información sobre el atributo de arrendamiento VPCs, consulte Instancias [dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configurar un trabajo de entrenamiento para el acceso a Amazon VPC
Para controlar el acceso a sus trabajos de entrenamiento, ejecútelos en una Amazon VPC con subredes privadas que no tengan acceso a Internet.
Para configurar el trabajo de formación para que se ejecute en la VPC, especifique sus subredes y su grupo de seguridad. IDs No es necesario especificar la subred para el contenedor del trabajo de entrenamiento. Amazon SageMaker AI extrae automáticamente la imagen del contenedor de entrenamiento de Amazon ECR.
Al crear un trabajo de formación, puede especificar las subredes y los grupos de seguridad de su VPC mediante la consola SageMaker Amazon AI o la API.
Para usar la API, debe especificar las subredes y el grupo de seguridad IDs en el `VpcConfig` parámetro de la operación. [ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) SageMaker La IA usa los detalles de la subred y el grupo de seguridad para crear las interfaces de red y las conecta a los contenedores de entrenamiento. Las interfaces de red proporcionan a sus contenedores de entrenamiento una conexión de red en su VPC. Esto permite que el trabajo de entrenamiento se conecte a los recursos que existen en la VPC.
A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a la operación `CreateTrainingJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure su VPC privada para SageMaker el entrenamiento de IA
Al configurar la VPC privada para sus trabajos de formación de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#train-vpc-ip)
+ [Creación de un punto de conexión de VPC de Amazon S3](#train-vpc-s3)
+ [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#train-vpc-policy)
+ [Configurar tablas de ruteo](#train-vpc-route-table)
+ [Configurar el grupo de seguridad de la VPC](#train-vpc-groups)
+ [Conexión a recursos fuera de la VPC](#train-vpc-nat)
+ [Supervisa los trabajos SageMaker de formación de Amazon con CloudWatch registros y métricas](#train-vpc-cloudwatch)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las instancias de entrenamiento que *no usen* un Elastic Fabric Adapter (EFA) deben tener al menos 2 direcciones IP privadas. Las instancias de entrenamiento que utilizan una EFA deben tener al menos 5 direcciones IP privadas. Para obtener más información, consulte [Varias direcciones IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) en la Guía del usuario de Amazon EC2.
Las subredes de la VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de capacitación. Para obtener más información, consulte [Dimensionamiento de subredes y VPC en la Guía](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) del usuario de IPv4 Amazon *VPC*.
### Creación de un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de entrenamiento no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen los datos de entrenamiento a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permita a los contenedores de capacitación obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de enlace de la VPC de S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para ver el **nombre del servicio**, busque com.amazonaws. *region*.s3**, donde *region* es el nombre de la región en la que reside la VPC.
1. Elija el tipo de **puerta de enlace**.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
1. En **Policy (Política)**, elija **Full Access (Acceso completo)** para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija **Personalizado** para restringir el acceso más. Para obtener información, consulte [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#train-vpc-policy).
### Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restringir la instalación de paquetes en el contenedor de capacitación
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el paquete de capacitación. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utilizas la configuración de DNS predeterminada, asegúrate de que la URLs que utilizas para especificar las ubicaciones de los datos en tus tareas de entrenamiento se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Configurar el grupo de seguridad de la VPC
En la capacitación distribuida, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de capacitación. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. En el caso de las instancias habilitadas para EFA, asegúrese de que las conexiones entrantes y salientes permitan todo el tráfico del mismo grupo de seguridad. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) en la *Guía del usuario de Amazon Virtual Private Cloud*.
### Conexión a recursos fuera de la VPC
Si configura la VPC de manera que no disponga de acceso a Internet, los trabajos de capacitación que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si su trabajo de capacitación precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:
+ Si su trabajo de formación necesita acceder a un AWS servicio que admita puntos finales de VPC de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte [Puntos de enlace de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) en la Guía del usuario de *Amazon Virtual Private* Cloud.
+ Si su trabajo de formación necesita acceso a un AWS servicio que no admite puntos finales de VPC de interfaz o a un recurso externo AWS, cree una puerta de enlace NAT y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte [Escenario 2: VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.
### Supervisa los trabajos SageMaker de formación de Amazon con CloudWatch registros y métricas
Amazon SageMaker AI proporciona CloudWatch registros y métricas de Amazon para supervisar los trabajos de formación. CloudWatch proporciona métricas de CPU, GPU, memoria, memoria de GPU y disco, y registro de eventos. Para obtener más información sobre la supervisión de los trabajos de SageMaker formación de Amazon, consulte [Métricas de Amazon SageMaker AI en Amazon CloudWatch](monitoring-cloudwatch.md) y[SageMaker Métricas de trabajo de IA](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Ofrezca a los puntos de conexión alojados en SageMaker IA acceso a los recursos de su Amazon VPC
## Configurar un modelo para el acceso a Amazon VPC
Para especificar subredes y grupos de seguridad en su VPC privada, utilice `VpcConfig` el parámetro de solicitud de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)la API o proporcione esta información al crear un modelo en SageMaker la consola de IA. SageMaker La IA utiliza esta información para crear interfaces de red y adjuntarlas a los contenedores de modelos. Las interfaces de red proporcionan a sus contenedores de modelos una conexión de red en su VPC que no está conectada a Internet. También permiten al modelo conectarse a recursos en su VPC privada.
**nota**
Debe crear al menos dos subredes en zonas de disponibilidad distintas en su VPC privada, incluso si solo dispone de una instancia de alojamiento.
A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a `CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure su VPC privada para SageMaker el alojamiento de IA
Al configurar la VPC privada para sus modelos de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#host-vpc-ip)
+ [Crear un punto de conexión de VPC de Amazon S3](#host-vpc-s3)
+ [Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3](#host-vpc-policy)
+ [Incorporación de permisos para el acceso al punto de conexión de los contenedores que se ejecutan en una VPC a las políticas de IAM personalizadas](#host-vpc-endpoints)
+ [Configurar tablas de ruteo](#host-vpc-route-table)
+ [Conexión a recursos fuera de la VPC](#model-vpc-nat)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las instancias de entrenamiento que no usen un Elastic Fabric Adapter (EFA) deben tener al menos 2 direcciones IP privadas. Las instancias de entrenamiento que utilizan una EFA deben tener al menos 5 direcciones IP privadas. Para obtener más información, consulte [Varias direcciones IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) en la Guía del usuario de Amazon EC2.
### Crear un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de modelos no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de modelo obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de conexión de VPC de Amazon S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para el **nombre del servicio**, elija com.amazonaws. *region*.s3**, donde *region* es el nombre de la AWS región en la que reside la VPC.
1. En **VPC**, elija la VPC que desea usar para este punto de enlace.
1. En **Configurar las tablas de enrutamiento**, elija las tablas de enrutamiento que usará el punto de conexión. El servicio de VPC agregará automáticamente una ruta a cada tabla de enrutamiento que elija que dirige el tráfico de Amazon S3 al nuevo punto de conexión.
1. En **Política**, elija **Acceso completo** para permitir acceso completo al servicio de Amazon S3 a cualquier usuario o servicio dentro de la VPC. Para restringir el acceso más, elija **Custom (Personalizado)**. Para obtener más información, consulte [Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3](#host-vpc-policy).
### Uso de una política de puntos de conexión personalizada para restringir el acceso a Amazon S3
La política de puntos de conexión predeterminada permite acceso completo a Amazon Simple Storage Service (Amazon S3) a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a Amazon S3, cree una política de puntos de conexión personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).
También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restricción de la instalación de paquetes en el contenedor de modelos con una política de puntos de enlace personalizada
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el contenedor de modelos. Si no desea que los usuarios instalen paquetes desde esos repositorios, cree una política de puntos de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Incorporación de permisos para el acceso al punto de conexión de los contenedores que se ejecutan en una VPC a las políticas de IAM personalizadas
La política administrada `SageMakerFullAccess` incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten a la SageMaker IA crear una interfaz de red elástica y conectarla a contenedores modelo que se ejecutan en una VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esta política para usar modelos configurados para el acceso a VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información sobre la política administrada `SageMakerFullAccess`, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus modelos se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Conexión a recursos fuera de la VPC
Si configura la VPC de manera que no disponga de acceso a Internet, los modelos que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si su modelo precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:
+ Si su modelo necesita acceder a un AWS servicio que admita puntos finales de VPC de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) en la *Guía del usuario de Amazon VPC*. *Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte [Puntos de enlace de VPC de interfaz () en la Guía AWS PrivateLink del](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) usuario de Amazon VPC.*
+ Si su modelo necesita acceder a un AWS servicio que no admite puntos finales de VPC de interfaz o a un recurso externo AWS, cree una puerta de enlace NAT y configure sus grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte [Escenario 2: VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.
# Conceder acceso a los trabajos de transformación por lotes a los recursos de su Amazon VPC
Para controlar el acceso a sus datos y trabajos de transformación por lotes, se recomienda crear una Amazon VPC privada y configurarla de manera que no se pueda obtener acceso a sus trabajos a través de Internet. Especifique la configuración de la VPC privada cuando cree un modelo especificando subredes y grupos de seguridad. A continuación, especifique el mismo modelo al crear un trabajo de transformación por lotes. Al especificar las subredes y los grupos de seguridad, la SageMaker IA crea *interfaces de red elásticas* que se asocian a los grupos de seguridad de una de las subredes. Las interfaces de red permiten a sus contenedores de modelos conectarse a los recursos en la VPC. Para obtener más información sobre las interfaces de red, consulte [Interfaces de red elásticas](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) en la *Guía del usuario de Amazon VPC*.
En este documento se explica cómo agregar configuraciones de Amazon VPC para trabajos de transformación por lotes.
## Configurar un trabajo de transformación por lotes para el acceso a Amazon VPC
Para especificar subredes y grupos de seguridad en su VPC privada, utilice `VpcConfig` el parámetro de solicitud de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)la API o proporcione esta información al crear un modelo en SageMaker la consola de IA. A continuación, especifique el mismo modelo en el parámetro de `ModelName` solicitud de la [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)API o en el campo **Nombre del modelo** al crear un trabajo de transformación en la consola de SageMaker IA. SageMaker La IA utiliza esta información para crear interfaces de red y conectarlas a los contenedores de modelos. Las interfaces de red proporcionan a sus contenedores de modelos una conexión de red en su VPC que no está conectada a Internet. También permiten a su trabajo de transformación conectarse a recursos en su VPC privada.
A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a `CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Si va a crear un modelo mediante la operación de la API `CreateModel`, el rol de ejecución de IAM que utilice para crear el modelo debe incluir los permisos que se describen en [CreateModel API: permisos de rol de ejecución](sagemaker-roles.md#sagemaker-roles-createmodel-perms), incluidos los siguientes permisos necesarios para una VPC privada.
Al crear un modelo en la consola, si selecciona **Crear un nuevo rol** en la sección **Configuración del modelo**, la [AmazonSageMakerFullAccess ](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor)política utilizada para crear el rol ya contiene estos permisos. Si selecciona **Especificar el ARN de un rol de IAM personalizado** o **Usar rol existente**, el ARN del rol que especifique debe tener una política de ejecución asociada con los siguientes permisos.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
```
## Configure su VPC privada para AI SageMaker Batch Transform
Al configurar la VPC privada para sus trabajos de transformación por lotes de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#batch-vpc-ip)
+ [Creación de un punto de conexión de VPC de Amazon S3](#batch-vpc-s3)
+ [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#batch-vpc-policy)
+ [Configurar tablas de ruteo](#batch-vpc-route-table)
+ [Configurar el grupo de seguridad de la VPC](#batch-vpc-groups)
+ [Conexión a recursos fuera de la VPC](#batch-vpc-nat)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las subredes de VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de transformación. Para obtener más información, consulte [Dimensionamiento de subredes y VPC en la Guía](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) del usuario de IPv4 Amazon *VPC*.
### Creación de un punto de conexión de VPC de Amazon S3
Si configura la VPC de manera que los contenedores de modelos no dispongan de acceso a Internet, no se podrán conectar a los buckets de Amazon S3 que contienen sus datos a no ser que cree un punto de conexión de VPC que permita el acceso. Si crea un punto de enlace de la VPC, permite a los contenedores de modelo obtener acceso a los buckets en los que almacena los datos y los artefactos de modelos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de enlace de la VPC de S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para el **nombre del servicio**, elija com.amazonaws. *region*.s3**, donde *region* es el nombre de la región en la que reside la VPC.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
1. En **Policy (Política)**, elija **Full Access (Acceso completo)** para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija **Personalizado** para restringir el acceso más. Para obtener información, consulte [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#batch-vpc-policy).
### Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restringir la instalación de paquetes en el contenedor de modelos
La política de punto de enlace predeterminada permite a los usuarios instalar paquetes desde los repositorios de Amazon Linux y Amazon Linux 2 en el paquete de capacitación. Si no desea que los usuarios instalen paquetes desde ese repositorio, cree una política de punto de enlace personalizada que deniegue de forma explícita el acceso a los repositorios de Amazon Linux y Amazon Linux 2. A continuación se muestra un ejemplo de una política que deniega el acceso a estos repositorios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de transformación por lotes se resuelva configurando las tablas de enrutamiento de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Configurar el grupo de seguridad de la VPC
En la transformación por lotes distribuida, debe permitir la comunicación entre distintos contenedores en el mismo trabajo de transformación por lotes. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes y salientes entre miembros del mismo grupo de seguridad. Los miembros del mismo grupo de seguridad deben poder comunicarse entre sí en todos los puertos. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Conexión a recursos fuera de la VPC
Si configura la VPC de manera que no disponga de acceso a Internet, los trabajos de transformación por lotes que usan esa VPC no disponen de acceso a los recursos fuera de la VPC. Si sus trabajo de transformación por lotes precisa de acceso a recursos fuera de la VPC, proporcione acceso con una de las siguientes opciones:
+ Si su trabajo de transformación por lotes necesita acceder a un AWS servicio que admita puntos finales de VPC de interfaz, cree un punto final para conectarse a ese servicio. Para obtener una lista de servicios que admiten puntos de conexión de interfaz, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) en la *Guía del usuario de Amazon VPC*. *Para obtener información sobre la creación de un punto de enlace de VPC de interfaz, consulte [Puntos de enlace de VPC de interfaz () en la Guía AWS PrivateLink del](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) usuario de Amazon VPC.*
+ Si su trabajo de transformación por lotes necesita acceder a un AWS servicio que no sea compatible con los puntos finales de la VPC de la interfaz o a un recurso externo AWS, cree una puerta de enlace NAT y configure los grupos de seguridad para permitir las conexiones salientes. Para obtener información sobre la configuración de una gateway NAT para su VPC, consulte [Escenario 2: VPC con subredes públicas y privadas (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) en la *Guía del usuario de Amazon Virtual Private Cloud*.
# Ofrezca a Amazon SageMaker Clarify Jobs acceso a los recursos de su Amazon VPC
Para controlar el acceso a sus datos y a las SageMaker tareas de Clarify, le recomendamos que cree una Amazon VPC privada y la configure de manera que no se pueda acceder a sus tareas a través de la Internet pública. Para obtener información sobre cómo crear y configurar una Amazon VPC para procesar trabajos, consulte [Dar acceso a los trabajos de SageMaker procesamiento a los recursos de su Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc).
En este documento se explica cómo añadir configuraciones de Amazon VPC adicionales que cumplan los requisitos de los trabajos de SageMaker Clarify.
**Topics**
+ [Configurar un trabajo de SageMaker Clarify para el acceso a Amazon VPC](#clarify-vpc-config)
+ [Configure su Amazon VPC privada para SageMaker los trabajos de Clarify](#clarify-vpc-vpc)
## Configurar un trabajo de SageMaker Clarify para el acceso a Amazon VPC
Debe especificar las subredes y los grupos de seguridad al configurar su Amazon VPC privada SageMaker para los trabajos de Clarify y permitir que el trabajo obtenga inferencias del modelo de IA al calcular SageMaker las métricas de sesgo posteriores al entrenamiento y las contribuciones de funciones que ayudan a explicar las predicciones del modelo.
**Topics**
+ [SageMaker Clarifique las subredes y grupos de seguridad de Amazon VPC de Job](#clarify-vpc-job)
+ [Configurar un modelo para el acceso a Amazon VPC](#clarify-vpc-model)
### SageMaker Clarifique las subredes y grupos de seguridad de Amazon VPC de Job
Las subredes y los grupos de seguridad de su Amazon VPC privada se pueden asignar a SageMaker un trabajo de Clarify de varias maneras, según cómo se cree el trabajo.
+ **SageMaker Consola de IA**: proporcione esta información cuando cree el trabajo en el panel de **SageMaker IA**. En el menú **Procesamiento**, seleccione **Trabajos de procesamiento** y, a continuación, elija **Crear trabajo de procesamiento**. Seleccione la opción **VPC** en el panel **Red** y proporcione las subredes y los grupos de seguridad mediante las listas desplegables. Asegúrese de que la opción de aislamiento de redes incluida en este panel esté desactivada.
+ **SageMaker API**: usa el parámetro de `NetworkConfig.VpcConfig` solicitud de la [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API, como se muestra en el siguiente ejemplo:
```
"NetworkConfig": {
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
}
```
+ **SageMaker SDK de Python**: utilice el `NetworkConfig` parámetro de la [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API o [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)API, como se muestra en el siguiente ejemplo:
```
from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
subnets=[
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2",
],
security_group_ids=[
"sg-0123456789abcdef0",
],
)
```
SageMaker La IA usa la información para crear interfaces de red y adjuntarlas al trabajo de SageMaker Clarify. Las interfaces de red proporcionan un trabajo SageMaker de Clarify con una conexión de red dentro de su Amazon VPC que no está conectada a la Internet pública. También permiten que el trabajo de SageMaker Clarify se conecte a los recursos de su Amazon VPC privada.
**nota**
La opción de aislamiento de red del trabajo SageMaker de Clarify debe estar desactivada (de forma predeterminada, la opción está desactivada) para que el trabajo de SageMaker Clarify pueda comunicarse con el punto final oculto.
### Configurar un modelo para el acceso a Amazon VPC
Para calcular las métricas de sesgo y la explicabilidad posteriores al entrenamiento, el trabajo de SageMaker Clarify debe obtener inferencias del modelo de SageMaker IA que se especifica mediante el `model_name` parámetro de la [configuración de análisis](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) del trabajo de procesamiento de Clarify. SageMaker Como alternativa, si utilizas la `SageMakerClarifyProcessor` API del SDK de Python para SageMaker IA, el trabajo debe obtener lo `model_name` especificado por la [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)clase. Para ello, el trabajo SageMaker Clarify crea un punto final efímero con el modelo, conocido como *punto final oculto*, y luego aplica la configuración de Amazon VPC del modelo al punto final oculto.
Para especificar subredes y grupos de seguridad en su Amazon VPC privada para SageMaker el modelo de IA, utilice `VpcConfig` el parámetro de solicitud de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel)la API o proporcione esta información cuando cree el modelo mediante el panel de IA de SageMaker la consola. A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a `CreateModel`:
```
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Puede especificar el número de instancias del punto final oculto que se van a lanzar con el `initial_instance_count` parámetro de la [configuración de análisis para el trabajo](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) de procesamiento de SageMaker Clarify. Como alternativa, si utilizas la `SageMakerClarifyProcessor` API del SDK de Python para SageMaker IA, el trabajo debe obtener lo `instance_count` especificado por la [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)clase.
**nota**
Aunque solo solicites una instancia al crear el punto final oculto, necesitarás al menos dos subredes del modelo [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)en distintas zonas de disponibilidad. De lo contrario, la creación de punto de conexión de sobra produce el siguiente error:
ClientError: Error al alojar el punto final sagemaker-clarify-endpoint-XXX: error. Motivo: no se pueden localizar al menos 2 zonas de disponibilidad con el tipo de instancia solicitado YYY que se superpongan con las subredes de SageMaker IA.
Si su modelo requiere archivos de modelo en Amazon S3, entonces el modelo de Amazon VPC debe tener un punto de conexión de VPC de Amazon S3. Para obtener más información sobre la creación y configuración de una Amazon VPC para modelos de SageMaker IA, consulte. [Ofrezca a los puntos de conexión alojados en SageMaker IA acceso a los recursos de su Amazon VPC](host-vpc.md)
## Configure su Amazon VPC privada para SageMaker los trabajos de Clarify
En general, puede seguir los pasos de [Configurar su VPC privada para su SageMaker procesamiento para configurar su Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc) privada para los trabajos de Clarify. SageMaker Estos son algunos de los aspectos más destacados y los requisitos especiales de los trabajos de SageMaker Clarify.
**Topics**
+ [Conexión a recursos fuera de su Amazon VPC](#clarify-vpc-nat)
+ [Configurar el grupo de seguridad de su Amazon VPC](#clarify-vpc-security-group)
### Conexión a recursos fuera de su Amazon VPC
Si configura su Amazon VPC para que no tenga acceso público a Internet, necesitará alguna configuración adicional para que SageMaker Clarify Jobs pueda acceder a recursos y servicios externos a su Amazon VPC. Por ejemplo, se necesita un punto de enlace de VPC de Amazon S3 porque un trabajo SageMaker de Clarify necesita cargar un conjunto de datos desde un bucket de S3 y guardar los resultados del análisis en un bucket de S3. Para obtener más información, consulte [Crear un punto de conexión de VPC de Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3) para obtener las pautas de creación. Además, si un trabajo SageMaker de Clarify necesita obtener conclusiones del punto final oculto, tendrá que llamar a varios servicios más AWS .
+ **Cree un punto de enlace de VPC del servicio de SageMaker API de Amazon**: el SageMaker trabajo de Clarify debe llamar al servicio de SageMaker API de Amazon para manipular el punto final oculto o describir un modelo de SageMaker IA para la validación de Amazon VPC. Puedes seguir las instrucciones que se proporcionan en el AWS PrivateLink blog [Proteger todas las llamadas a las SageMaker API de Amazon con](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/) el fin de crear un punto de enlace de VPC de la SageMaker API de Amazon que permita al trabajo de SageMaker Clarify realizar las llamadas de servicio. Tenga en cuenta que el nombre del servicio SageMaker API de Amazon es`com.amazonaws.region.sagemaker.api`, donde *region* es el nombre de la región en la que reside su Amazon VPC.
+ **Cree un punto final de VPC de Amazon SageMaker AI Runtime**: la tarea SageMaker de Clarify debe llamar al servicio Amazon SageMaker AI Runtime, que dirige las invocaciones al punto final oculto. Los pasos de configuración son similares a los del servicio Amazon SageMaker API. Tenga en cuenta que el nombre del servicio Amazon SageMaker AI Runtime es`com.amazonaws.region.sagemaker.runtime`, donde *region* es el nombre de la región en la que reside su Amazon VPC.
### Configurar el grupo de seguridad de su Amazon VPC
SageMaker Los trabajos de Clarify admiten el procesamiento distribuido cuando se especifican dos o más instancias de procesamiento de una de las siguientes maneras:
+ **SageMaker Consola AI**: el **recuento de instancias** se especifica en la parte de **configuración de recursos** del panel de **ajustes del trabajo** de la página **Crear trabajo de procesamiento**.
+ **SageMaker API**: `InstanceCount` se especifica al crear el trabajo con la [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API.
+ **SageMaker SDK de Python**: `instance_count` se especifica cuando se utiliza la [SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API o la API [del procesador](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor).
En el procesamiento distribuido, debe permitir la comunicación entre distintas instancias en el mismo trabajo de procesamiento. Para ello, configure una regla para el grupo de seguridad que permita conexiones entrantes entre miembros del mismo grupo de seguridad. Para obtener información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
# Ofrezca a los trabajos de compilación de SageMaker IA acceso a los recursos de su Amazon VPC
**nota**
Para los trabajos de compilación, puede configurar subredes solo con una VPC de tenencia predeterminada en la que la instancia se ejecuta en hardware compartido. Para obtener más información sobre el atributo de arrendamiento VPCs, consulte Instancias [dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configurar un trabajo de compilación para el acceso a Amazon VPC
Para especificar subredes y grupos de seguridad en su VPC privada, utilice `VpcConfig` el parámetro de solicitud de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)la API o proporcione esta información cuando cree un trabajo de compilación en SageMaker la consola de IA. SageMaker AI Neo utiliza esta información para crear interfaces de red y adjuntarlas a tus trabajos de compilación. Las interfaces de red proporcionan trabajos de compilación con una conexión de red dentro de la VPC que no está conectada a Internet. También permiten a su trabajo de compilación conectarse a recursos en su VPC privada. A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en su llamada a `CreateCompilationJob`:
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure su VPC privada para SageMaker la compilación de IA
Al configurar la VPC privada para sus trabajos de compilación de SageMaker IA, siga las siguientes pautas. Para obtener información sobre la configuración de una VPC, consulte [Trabajo con subredes VPCs y subredes](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) en la Guía del usuario de Amazon *VPC*.
**Topics**
+ [Cómo asegurar que las subredes dispongan de suficientes direcciones IP](#neo-vpc-ip)
+ [Creación de un punto de conexión de VPC de Amazon S3](#neo-vpc-s3)
+ [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](#neo-vpc-policy)
+ [Configurar tablas de ruteo](#neo-vpc-route-table)
+ [Configurar el grupo de seguridad de la VPC](#neo-vpc-groups)
### Cómo asegurar que las subredes dispongan de suficientes direcciones IP
Las subredes de VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo de compilación. Para obtener más información, consulte [Dimensionamiento de subredes y VPC en la Guía](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) del usuario de IPv4 Amazon *VPC*.
### Creación de un punto de conexión de VPC de Amazon S3
Si configura su VPC para bloquear el acceso a Internet, SageMaker Neo no podrá conectarse a los buckets de Amazon S3 que contienen sus modelos a menos que cree un punto de enlace de VPC que permita el acceso. Al crear un punto final de VPC, permite que sus trabajos de compilación de SageMaker Neo accedan a los depósitos en los que almacena sus datos y modela los artefactos. Le recomendamos que también cree una política personalizada que permita solo solicitudes de su VPC privada para obtener acceso a sus buckets de S3. Para obtener más información, consulte [Puntos de enlace para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para crear un punto de enlace de la VPC de S3:**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. **Para el **nombre del servicio**, busca com.amazonaws. *region*.s3**, donde *region* es el nombre de la región en la que reside la VPC.
1. Elija el tipo de **puerta de enlace**.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC añadirá automáticamente una ruta a cada tabla de ruteo que seleccione que dirige cualquier tráfico de S3 al nuevo punto de enlace.
1. En **Policy (Política)**, elija **Full Access (Acceso completo)** para permitir acceso completo al servicio de S3 a cualquier usuario o servicio dentro de la VPC. Elija **Personalizado** para restringir el acceso más. Para obtener información, consulte [Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3](train-vpc.md#train-vpc-policy).
### Utilizar una política de puntos de enlace personalizados para restringir el acceso a S3
La política de puntos de enlace predeterminada permite acceso completo a S3 a cualquier usuario o servicio de la VPC. Para restringir aún más el acceso a S3, cree una política de puntos de enlace personalizada. Para obtener más información, consulte [Using Endpoint Policies for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). También puede utilizar una política de bucket para restringir el acceso a los buckets de S3 a solo el tráfico que proceda de su Amazon VPC. Para obtener más información, consulte [Using Amazon S3 Bucket Policies](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). La siguiente es una política personalizada de ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Agregar permisos para la ejecución de un trabajo de compilación en una Amazon VPC a las políticas de IAM personalizadas
La política administrada `SageMakerFullAccess` incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten a SageMaker Neo crear una interfaz de red elástica y adjuntarla a un trabajo de compilación que se ejecuta en una Amazon VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esa política para usar modelos configurados para el acceso a Amazon VPC.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información sobre la política administrada `SageMakerFullAccess`, consulte [AWS política gestionada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurar tablas de ruteo
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva el Amazon S3 estándar URLs (por ejemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de compilación se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing for Gateway Endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
### Configurar el grupo de seguridad de la VPC
En su grupo de seguridad para el trabajo de compilación, debe permitir la comunicación saliente con los puntos de conexión de Amazon VPC de Amazon S3 y los rangos de CIDR de subred utilizados para el trabajo de compilación. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) y [Control access to services with Amazon VPC endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).
# Conceder a los trabajos del recomendador de inferencias acceso a los recursos de su Amazon VPC
**nota**
El recomendador de inferencias requiere que registre su modelo en el registro de modelos. Tenga en cuenta que el registro de modelos no permite que los artefactos de su modelo o la imagen de Amazon ECR estén restringidos por VPC.
El recomendador de inferencias también exige que su objeto de Amazon S3 de carga de muestra no esté restringido por VPC. Se recomienda crear también una política personalizada que permita solo a las solicitudes de su VPC privada obtener acceso a sus buckets de S3.
Para especificar subredes y grupos de seguridad en su VPC privada, utilice `RecommendationJobVpcConfig` el parámetro de solicitud de la API o especifique [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)las subredes y los grupos de seguridad al crear un trabajo de recomendación en SageMaker la consola de IA.
El recomendador de inferencias utiliza esta información para crear puntos de conexión. Al aprovisionar los puntos de conexión, la SageMaker IA crea interfaces de red y las conecta a los puntos de conexión. Las interfaces de red proporcionan a sus puntos de conexión una conexión de red a su VPC. A continuación se muestra un ejemplo del parámetro `VpcConfig` incluido en una llamada a `CreateInferenceRecommendationsJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Consulte los siguientes temas para obtener más información sobre cómo configurar su Amazon VPC para su uso con trabajos del recomendador de inferencias.
**Topics**
+ [Garantía de que las subredes disponen de direcciones IP suficientes](#inference-recommender-vpc-access-subnets)
+ [Crear un punto de conexión de VPC de Amazon S3](#inference-recommender-vpc-access-endpoint)
+ [Agregar permisos para trabajos del recomendador de inferencias que se ejecutan en una Amazon VPC a las políticas de IAM personalizadas](#inference-recommender-vpc-access-permissions)
+ [Configurar tablas de enrutamiento](#inference-recommender-vpc-access-route-tables)
+ [Configurar el grupo de seguridad de la VPC](#inference-recommender-vpc-access-security-group)
## Garantía de que las subredes disponen de direcciones IP suficientes
Las subredes de VPC deben disponer de al menos dos direcciones IP privadas para cada instancia en un trabajo del recomendador de inferencias. Para obtener más información sobre las subredes y las direcciones IP privadas, consulte [Cómo funciona Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) en la *Guía del usuario de Amazon VPC*.
## Crear un punto de conexión de VPC de Amazon S3
Si configura la VPC para bloquear el acceso a Internet, el recomendador de inferencias no se podrá conectar a los buckets de Amazon S3 que contienen sus modelos a no ser que cree un punto de conexión de VPC que permita el acceso. Al crear un punto final de VPC, permite que sus trabajos de recomendación de inferencias de SageMaker IA accedan a los depósitos en los que almacena sus datos y modela los artefactos.
Para crear un punto de conexión de VPC de Amazon S3, utilice el siguiente procedimiento:
1. Abra la [Consola de Amazon VPC](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Endpoints (Puntos de enlace)** y, a continuación, elija **Create Endpoint (Crear punto de enlace)**.
1. En **Nombre del servicio**, busque, `com.amazonaws.region.s3` donde `region` es el nombre de la región donde reside la VPC.
1. Elija el **Tipo de puerta de enlace**.
1. En **VPC**, elija la VPC que desea usar para este punto de conexión.
1. En **Configurar tablas de enrutamiento**, seleccione las tablas de enrutamiento que debe usar el punto de conexión. El servicio de VPC agregará automáticamente una ruta a cada tabla de enrutamiento que seleccione que dirige el tráfico de Amazon S3 al nuevo punto de conexión.
1. En **Política**, elija **Acceso completo** para permitir acceso completo al servicio de Amazon S3 a cualquier usuario o servicio dentro de la VPC.
## Agregar permisos para trabajos del recomendador de inferencias que se ejecutan en una Amazon VPC a las políticas de IAM personalizadas
La política administrada `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` incluye los permisos que necesita para usar modelos configurados para el acceso a Amazon VPC con un punto de conexión. Estos permisos permiten al recomendador de inferencias crear una interfaz de red elástica y asociarla al trabajo de recomendación de inferencias que se ejecuta en una Amazon VPC. Si usa su propia política de IAM, debe agregar los siguientes permisos a esa política para usar modelos configurados para el acceso a Amazon VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## Configurar tablas de enrutamiento
Utilice la configuración de DNS predeterminada para la tabla de rutas de su punto final, de modo que se resuelva Amazon S3 estándar URLs (por ejemplo:`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`). Si no utiliza la configuración de DNS predeterminada, asegúrese de que la URLs que utiliza para especificar las ubicaciones de los datos en sus trabajos de recomendación de inferencia se resuelva configurando las tablas de rutas de los puntos finales. Para obtener información sobre las tablas de enrutamiento de punto de conexión de VPC, consulte [Routing gateway endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) en la *Guía del usuario de Amazon VPC*.
## Configurar el grupo de seguridad de la VPC
En su grupo de seguridad para el trabajo de recomendación de inferencias, debe permitir la comunicación saliente con los puntos de conexión de VPC de Amazon S3 y los rangos de CIDR de subred utilizados para el trabajo de recomendación de inferencias. Para obtener más información, consulte [Reglas del grupo de seguridad](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) y [Control access to services with Amazon VPC endpoints](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.