Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon SageMaker Canvas
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Amazon SageMaker Canvas. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
Rubriques
AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
AWS politique gérée : AmazonSageMakerCanvas AIServices Accès
AWS politique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
AWS politique gérée : AmazonSageMakerCanvas SMData ScienceAssistantAccess
Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Canvas
AWS politique gérée : AmazonSageMakerCanvasFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à Amazon SageMaker Canvas via le SDK AWS Management Console and. La politique fournit également un accès restreint aux services connexes [par exemple, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry, Amazon [ AWS Secrets Manager Amazon Forecast SageMaker ]. SageMaker
Cette politique vise à aider les clients à expérimenter et à démarrer avec toutes les fonctionnalités de SageMaker Canvas. Pour un contrôle plus précis, nous suggérons aux clients de créer leurs propres versions délimitées lorsqu'ils passent aux charges de travail de production. Pour plus d'informations, consultez Types de politiques IAM : comment et quand les utiliser
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker
— Permet aux directeurs de créer et d'héberger des modèles d' SageMaker IA sur des ressources dont l'ARN contient « Canvas », « canvas » ou « model-compilation- ». De plus, les utilisateurs peuvent enregistrer leur modèle SageMaker Canvas dans SageMaker AI Model Registry sur le même AWS compte. Permet également aux directeurs de créer et de gérer des tâches de SageMaker formation, de transformation et d'AutoML. -
application-autoscaling
— Permet aux principaux de dimensionner automatiquement un point de terminaison d'inférence SageMaker basé sur l'IA. -
athena
— Permet aux principaux d'interroger une liste de catalogues de données, de bases de données et de métadonnées de tables à partir d'Amazon Athena, et d'accéder aux tables des catalogues. -
cloudwatch
— Permet aux directeurs de créer et de gérer les CloudWatch alarmes Amazon. -
ec2
: autorise les principaux à créer des points de terminaison Amazon VPC. -
ecr
: autorise les principaux à obtenir des informations sur une image de conteneur. -
emr-serverless
— Permet aux principaux de créer et de gérer des applications et des exécutions de tâches Amazon EMR Serverless. Permet également aux principaux de baliser les ressources SageMaker Canvas. -
forecast
: autorise les principaux à utiliser Amazon Forecast. -
glue
— Permet aux principaux de récupérer les tables, les bases de données et les partitions du AWS Glue catalogue. -
iam
— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker AI, Amazon Forecast et Amazon EMR Serverless. Permet également aux principaux de créer un rôle lié à un service. -
kms
— Permet aux principaux de lire une AWS KMS clé étiquetée avecSource:SageMakerCanvas
. -
logs
: autorise les principaux à publier des journaux à partir des tâches d'entraînement et des points de terminaison. -
quicksight
— Permet aux principaux de répertorier les espaces de noms du QuickSight compte. -
rds
: permet aux principaux de renvoyer des informations sur les instances Amazon RDS provisionnées. -
redshift
: permet aux principaux d'obtenir les informations d'identification d'un utilisateur dbuser « sagemaker_access* » sur n'importe quel cluster Amazon Redshift si cet utilisateur existe. -
redshift-data
: permet aux principaux d'exécuter des requêtes sur Amazon Redshift à l'aide de l'API de données Amazon Redshift. Cela donne uniquement accès aux données Redshift APIs elles-mêmes et ne donne pas directement accès à vos clusters Amazon Redshift. Pour plus d'informations, consultez la section Utilisation de l'API de données Amazon Redshift. -
s3
: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut SageMaker « », « Sagemaker » ou « Sagemaker ». Permet également aux principaux de récupérer des objets dans des compartiments Amazon S3 dont l'ARN commence par « jumpstart-cache-prod - » dans des régions spécifiques. -
secretsmanager
: autorise les principaux à stocker les informations d'identification des clients pour se connecter à une base de données Snowflake à l'aide de Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } } { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } }, }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à la fonctionnalité de préparation des données d'Amazon SageMaker Canvas. La politique prévoit également des autorisations de moindre privilège pour les services intégrés à la fonctionnalité de préparation des données [par exemple, Amazon Simple Storage Service (Amazon S3) AWS Identity and Access Management , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () et]. AWS Key Management Service AWS KMS AWS Secrets Manager
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker
— Permet aux principaux d'accéder aux tâches de traitement, aux tâches de formation, aux pipelines d'inférence, aux tâches AutoML et aux groupes de fonctionnalités. -
athena
— Permet aux principaux d'interroger une liste de catalogues de données, de bases de données et de métadonnées de tables à partir d'Amazon Athena. -
elasticmapreduce
— Permet aux principaux de lire et de répertorier les clusters Amazon EMR. -
emr-serverless
— Permet aux principaux de créer et de gérer des applications et des exécutions de tâches Amazon EMR Serverless. Permet également aux principaux de baliser les ressources SageMaker Canvas. -
events
— Permet aux directeurs de créer, de lire, de mettre à jour et d'ajouter des cibles aux EventBridge règles Amazon pour les tâches planifiées. -
glue
— Permet aux principaux d'obtenir et de rechercher des tables dans les bases de données du AWS Glue catalogue. -
iam
— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker AI et à Amazon EMR Serverless. EventBridge Permet également aux principaux de créer un rôle lié à un service. -
kms
— Permet aux principaux de récupérer les AWS KMS alias stockés dans les tâches et les points de terminaison, et d'accéder à la clé KMS associée. -
logs
: autorise les principaux à publier des journaux à partir des tâches d'entraînement et des points de terminaison. -
redshift
— Permet aux directeurs d'obtenir des informations d'identification pour accéder à une base de données Amazon Redshift. -
redshift-data
— Permet aux principaux d'exécuter, d'annuler, de décrire, de répertorier et d'obtenir les résultats des requêtes Amazon Redshift. Permet également aux principaux de répertorier les schémas et les tables Amazon Redshift. -
s3
: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « », SageMaker « Sagemaker » ou « Sagemaker » ; ou ceux marqués d'un « », sans distinction SageMaker majuscules/minuscules. -
secretsmanager
— Permet aux principaux de stocker et de récupérer les informations d'identification de la base de données clients à l'aide de Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
Cette politique accorde les autorisations nécessaires à Amazon SageMaker Canvas pour créer et gérer les points de terminaison Amazon SageMaker AI.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker
— Permet aux principaux de créer et de gérer des points de terminaison d' SageMaker IA avec un nom de ressource ARN commençant par « Canvas » ou « Canvas ». -
cloudwatch
— Permet aux principaux de récupérer les données CloudWatch métriques d'Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerEndpointPerms", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:DeleteEndpoint", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpoint" ], "Resource": [ "arn:aws:sagemaker:*:*:Canvas*", "arn:aws:sagemaker:*:*:canvas*" ] }, { "Sid": "ReadCWInvocationMetrics", "Effect": "Allow", "Action": "cloudwatch:GetMetricData", "Resource": "*" } ] }
AWS politique gérée : AmazonSageMakerCanvas AIServices Accès
Cette politique autorise Amazon SageMaker Canvas à utiliser Amazon Textract, Amazon Rekognition, Amazon Comprehend et Amazon Bedrock.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
textract
: permet aux principaux d'utiliser Amazon Textract pour détecter des documents, des dépenses et des identités dans une image. -
rekognition
: permet aux principaux d'utiliser Amazon Rekognition pour détecter des étiquettes et du texte dans une image. -
comprehend
: permet aux principaux d'utiliser Amazon Comprehend pour détecter les sentiments et la langue dominante, ainsi que les entités nommées et de données d'identification personnelle (PII) dans un document texte. -
bedrock
: permet aux principaux d'utiliser Amazon Bedrock pour répertorier et invoquer des modèles de fondation. -
iam
— Permet aux directeurs de transmettre un rôle IAM à Amazon Bedrock.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWS politique gérée : AmazonSageMakerCanvasBedrockAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Bedrock.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3
— Permet aux principaux d'ajouter et de récupérer des objets depuis des compartiments Amazon S3 dans le répertoire « SageMaker-*/Canvas ».
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3CanvasAccess", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/Canvas/*" ] }, { "Sid": "S3BucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS politique gérée : AmazonSageMakerCanvasForecastAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Forecast.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3
: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom commence par « sagemaker- ».
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*/Canvas", "arn:aws:s3:::sagemaker-*/canvas" ] } { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] } ] }
AWS politique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Cette politique accorde des autorisations à Amazon EMR Serverless pour les AWS services, tels qu'Amazon S3, utilisés par Amazon SageMaker Canvas pour le traitement de données volumineuses.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3
: permet aux principaux d'ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « » SageMaker ou « sagemaker » ; ou ceux marqués d'un SageMaker « », sans distinction majuscules/majuscules.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWS politique gérée : AmazonSageMakerCanvas SMData ScienceAssistantAccess
Cette politique autorise les utilisateurs d'Amazon SageMaker Canvas à entamer des conversations avec Amazon Q Developer. Cette fonctionnalité nécessite des autorisations à la fois pour Amazon Q Developer et pour le service SageMaker AI Data Science Assistant.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
q
— Permet aux directeurs d'envoyer des instructions à Amazon Q Developer. -
sagemaker-data-science-assistant
— Permet aux directeurs d'envoyer des instructions au service SageMaker Canvas Data Science Assistant.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerDataScienceAssistantAccess", "Effect": "Allow", "Action": [ "sagemaker-data-science-assistant:SendConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AmazonQDeveloperAccess", "Effect": "Allow", "Action": [ "q:SendMessage", "q:StartConversation" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Canvas
Consultez les détails des mises à jour des politiques AWS gérées pour SageMaker Canvas depuis que ce service a commencé à suivre ces modifications.
Politique | Version | Modification | Date |
---|---|---|---|
AmazonSageMakerCanvasSMDataScienceAssistantAccess : mise à jour d'une stratégie existante |
2 |
Ajouter l'autorisation |
14 janvier 2025 |
AmazonSageMakerCanvasSMDataScienceAssistantAccess : nouvelle politique |
1 |
Politique initiale |
4 décembre 2024 |
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d'une stratégie existante |
4 |
Ajoutez une ressource à |
16 août 2024 |
AmazonSageMakerCanvasFullAccess : mise à jour d'une stratégie existante |
11 |
Ajoutez une ressource à |
15 août 2024 |
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy : nouvelle politique |
1 |
Politique initiale |
26 juillet 2024 |
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d'une stratégie existante |
3 |
Ajoutez |
18 juillet 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
10 |
Ajouter Ajoutez Ajoutez les autorisations Ajoutez les autorisations Ajoutez |
9 juillet 2024 |
AmazonSageMakerCanvasBedrockAccess : nouvelle politique |
1 |
Politique initiale |
2 février 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
9 |
Ajouter l'autorisation |
24 janvier 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
8 |
Ajoutez |
8 décembre 2023 |
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d'une stratégie existante |
2 |
Petite mise à jour pour appliquer les intentions de la politique précédente, version 1 ; aucune autorisation n'a été ajoutée ou supprimée. |
7 décembre 2023 |
AmazonSageMakerCanvasAIServicesAccès : mise à jour d'une stratégie existante |
3 |
Ajoutez |
29 novembre 2023 |
AmazonSageMakerCanvasDataPrepFullAccess - Nouvelle politique |
1 |
Politique initiale |
26 octobre 2023 |
AmazonSageMakerCanvasDirectDeployAccess : nouvelle politique |
1 |
Politique initiale |
6 octobre 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
7 |
Ajoutez les autorisations |
29 septembre 2023 |
AmazonSageMakerCanvasAIServicesAccès - Mise à jour d'une politique existante |
2 |
Ajoutez les autorisations |
29 septembre 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
6 |
Ajouter l'autorisation |
29 août 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
5 |
Ajoutez les autorisations |
24 juillet 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
4 |
Ajoutez les autorisations |
4 mai 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
3 |
Ajoutez les autorisations |
24 mars 2023 |
AmazonSageMakerCanvasAIServicesAccès - Nouvelle politique |
1 |
Politique initiale |
23 mars 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
2 |
Ajouter l'autorisation |
6 décembre 2022 |
AmazonSageMakerCanvasFullAccess - Nouvelle politique |
1 |
Politique initiale |
8 septembre 2022 |
AmazonSageMakerCanvasForecastAccess : nouvelle politique |
1 |
Politique initiale |
24 août 2022 |