Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWSpolitiques gérées pour Amazon SageMaker Canvas
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Amazon SageMaker Canvas. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
Rubriques
AWSpolitique gérée : AmazonSageMakerCanvasDataPrepFullAccess
AWSpolitique gérée : AmazonSageMakerCanvasDirectDeployAccess
AWSpolitique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
AWSpolitique gérée : AmazonSageMakerCanvas SMData ScienceAssistantAccess
Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Canvas
AWSpolitique gérée : AmazonSageMakerCanvasFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à Amazon SageMaker Canvas via le SDK AWS Management Console and. La politique fournit également un accès restreint aux services connexes [par exemple, Amazon Simple Storage Service (Amazon S3), (IAM)Gestion des identités et des accès AWS, Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry, Amazon [AWS Secrets ManagerAmazon Forecast SageMaker ]. SageMaker
Cette politique vise à aider les clients à expérimenter et à démarrer avec toutes les fonctionnalités de SageMaker Canvas. Pour un contrôle plus précis, nous suggérons aux clients de créer leurs propres versions délimitées lorsqu'ils passent aux charges de travail de production. Pour plus d'informations, consultez Types de politiques IAM : comment et quand les utiliser
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker— Permet aux directeurs de créer et d'héberger des modèles d' SageMaker IA sur des ressources dont l'ARN contient « Canvas », « canvas » ou « model-compilation- ». De plus, les utilisateurs peuvent enregistrer leur modèle SageMaker Canvas dans SageMaker AI Model Registry sur le même AWS compte. Permet également aux directeurs de créer et de gérer des tâches de SageMaker formation, de transformation et d'AutoML. -
application-autoscaling— Permet aux principaux de redimensionner automatiquement un point de terminaison d'inférence SageMaker basé sur l'IA. -
athena: autorise les principaux à interroger une liste de catalogues de données, de bases de données et de métadonnées de table à partir d’Amazon Athena, et à accéder aux tables dans les catalogues. -
cloudwatch— Permet aux directeurs de créer et de gérer les CloudWatch alarmes Amazon. -
ec2: autorise les principaux à créer des points de terminaison Amazon VPC. -
ecr: autorise les principaux à obtenir des informations sur une image de conteneur. -
emr-serverless: autorise les principaux à créer et à gérer des applications et des exécutions de tâches Amazon EMR sans serveur. Permet également aux principaux de baliser les ressources SageMaker Canvas. -
forecast: autorise les principaux à utiliser Amazon Forecast. -
glue— Permet aux principaux de récupérer les tables, les bases de données et les partitions du AWS Glue catalogue. -
iam— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker AI, Amazon Forecast et Amazon EMR Serverless. Autorise également les principaux à créer un rôle lié à un service. -
kms— Permet aux principaux de lire une AWS KMS clé étiquetée avecSource:SageMakerCanvas. -
logs: autorise les principaux à publier des journaux à partir des tâches d’entraînement et des points de terminaison. -
quicksight— Permet aux principaux de répertorier les espaces de noms du compte Quick Suite. -
rds: permet aux principaux de renvoyer des informations sur les instances Amazon RDS provisionnées. -
redshift: permet aux principaux d’obtenir les informations d’identification d’un utilisateur dbuser « sagemaker_access* » sur n’importe quel cluster Amazon Redshift si cet utilisateur existe. -
redshift-data: permet aux principaux d'exécuter des requêtes sur Amazon Redshift à l'aide de l'API de données Amazon Redshift. Cela donne uniquement accès aux données Redshift APIs elles-mêmes et ne donne pas directement accès à vos clusters Amazon Redshift. Pour plus d’informations, consultez la section Utilisation de l’API de données Amazon Redshift. -
s3: permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut SageMaker « », « Sagemaker » ou « Sagemaker ». Permet également aux principaux de récupérer des objets dans des compartiments Amazon S3 dont l'ARN commence par « jumpstart-cache-prod - » dans des régions spécifiques. -
secretsmanager: autorise les principaux à stocker les informations d’identification des clients pour se connecter à une base de données Snowflake à l’aide de Secrets Manager.
-
{ "Version":"2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWSpolitique gérée : AmazonSageMakerCanvasDataPrepFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à la fonctionnalité de préparation des données d'Amazon SageMaker Canvas. La politique prévoit également des autorisations de moindre privilège pour les services intégrés à la fonctionnalité de préparation des données [par exemple, Amazon Simple Storage Service (Amazon S3)Gestion des identités et des accès AWS, (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () et]. AWS Key Management Service AWS KMS AWS Secrets Manager
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker: autorise les principaux à accéder aux tâches de traitement, aux tâches d’entraînement, aux pipelines d’inférence, aux tâches AutoML et aux groupes de caractéristiques. -
athena: autorise les principaux à interroger une liste de catalogues de données, de bases de données et de métadonnées de table à partir d’Amazon Athena. -
elasticmapreduce: autorise les principaux à lire et à répertorier les clusters Amazon EMR. -
emr-serverless: autorise les principaux à créer et à gérer des applications et des exécutions de tâches Amazon EMR sans serveur. Permet également aux principaux de baliser les ressources SageMaker Canvas. -
events— Permet aux directeurs de créer, de lire, de mettre à jour et d'ajouter des cibles aux EventBridge règles Amazon pour les tâches planifiées. -
glue— Permet aux principaux d'obtenir et de rechercher des tables dans les bases de données du AWS Glue catalogue. -
iam— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker AI et à Amazon EMR Serverless. EventBridge Autorise également les principaux à créer un rôle lié à un service. -
kms— Permet aux principaux de récupérer les AWS KMS alias stockés dans les tâches et les points de terminaison, et d'accéder à la clé KMS associée. -
logs: autorise les principaux à publier des journaux à partir des tâches d’entraînement et des points de terminaison. -
redshift: autorise les principaux à obtenir les informations d’identification pour accéder à une base de données Amazon Redshift. -
redshift-data: autorise les principaux à exécuter, à annuler, à décrire, à répertorier et à obtenir les résultats des requêtes Amazon Redshift. Autorise également les principaux à répertorier les schémas et les tables Amazon Redshift. -
s3: permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « », SageMaker « Sagemaker » ou « Sagemaker » ; ou ceux marqués d'un « », sans distinction SageMaker majuscules/minuscules. -
secretsmanager: autorise les principaux à stocker et à extraire les informations d’identification de base de données client à l’aide de Secrets Manager.
-
{ "Version":"2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWSpolitique gérée : AmazonSageMakerCanvasDirectDeployAccess
Cette politique accorde les autorisations nécessaires à Amazon SageMaker Canvas pour créer et gérer les points de terminaison Amazon SageMaker AI.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
sagemaker— Permet aux principaux de créer et de gérer des points de terminaison d' SageMaker IA avec un nom de ressource ARN commençant par « Canvas » ou « Canvas ». -
cloudwatch— Permet aux principaux de récupérer les données CloudWatch métriques d'Amazon.
AWSpolitique gérée : AmazonSageMakerCanvas AIServices Accès
Cette politique autorise Amazon SageMaker Canvas à utiliser Amazon Textract, Amazon Rekognition, Amazon Comprehend et Amazon Bedrock.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
textract: permet aux principaux d'utiliser Amazon Textract pour détecter des documents, des dépenses et des identités dans une image. -
rekognition: permet aux principaux d'utiliser Amazon Rekognition pour détecter des étiquettes et du texte dans une image. -
comprehend: permet aux principaux d'utiliser Amazon Comprehend pour détecter les sentiments et la langue dominante, ainsi que les entités nommées et de données d'identification personnelle (PII) dans un document texte. -
bedrock: permet aux principaux d’utiliser Amazon Bedrock pour répertorier et invoquer des modèles de fondation. -
iam: autorise les principaux à transmettre un rôle IAM à Amazon Bedrock.
-
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWSpolitique gérée : AmazonSageMakerCanvasBedrockAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Bedrock.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3: autorise les principaux à ajouter et à récupérer des objets à partir de compartiments Amazon S3 dans le répertoire « sagemaker-*/Canvas ».
AWSpolitique gérée : AmazonSageMakerCanvasForecastAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Forecast.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3: permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom commence par « sagemaker- ».
AWSpolitique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Cette politique accorde des autorisations à Amazon EMR Serverless pour les AWS services, tels qu'Amazon S3, utilisés par Amazon SageMaker Canvas pour le traitement de données volumineuses.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
s3: permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « » SageMaker ou « sagemaker » ; ou ceux marqués d'un SageMaker « », sans distinction majuscules/majuscules.
AWSpolitique gérée : AmazonSageMakerCanvas SMData ScienceAssistantAccess
Cette politique autorise les utilisateurs d'Amazon SageMaker Canvas à entamer des conversations avec Amazon Q Developer. Cette fonctionnalité nécessite des autorisations à la fois pour Amazon Q Developer et pour le service SageMaker AI Data Science Assistant.
Détails de l’autorisation
Cette politique AWS gérée inclut les autorisations suivantes.
-
q: autorise les principaux à envoyer des invites à Amazon Q Developer. -
sagemaker-data-science-assistant— Permet aux directeurs d'envoyer des instructions au service SageMaker Canvas Data Science Assistant.
Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Canvas
Consultez les détails des mises à jour des politiques AWS gérées pour SageMaker Canvas depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
|---|---|---|---|
|
AmazonSageMakerCanvasSMDataScienceAssistantAccess : mise à jour d’une stratégie existante |
2 |
Ajouter l’autorisation |
14 janvier 2025 |
|
AmazonSageMakerCanvasSMDataScienceAssistantAccess : nouvelle politique |
1 |
Politique initiale |
4 décembre 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d’une stratégie existante |
4 |
Ajout d’une ressource à l’autorisation |
16 août 2024 |
|
AmazonSageMakerCanvasFullAccess : mise à jour d’une stratégie existante |
11 |
Ajout d’une ressource à l’autorisation |
15 août 2024 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy : nouvelle politique |
1 |
Politique initiale |
26 juillet 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d’une stratégie existante |
3 |
Ajout des autorisations |
18 juillet 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
10 |
Ajout des autorisations Ajout des autorisations Ajoutez les autorisations Ajoutez les autorisations Ajout des autorisations |
9 juillet 2024 |
|
AmazonSageMakerCanvasBedrockAccess : nouvelle politique |
1 |
Politique initiale |
2 février 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
9 |
Ajouter l’autorisation |
24 janvier 2024 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
8 |
Ajout des autorisations |
8 décembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d’une stratégie existante |
2 |
Petite mise à jour pour appliquer les intentions de la politique précédente, version 1 ; aucune autorisation ajoutée ni supprimée. |
7 décembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccès : mise à jour d’une stratégie existante |
3 |
Ajout des autorisations |
29 novembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Nouvelle politique |
1 |
Politique initiale |
26 octobre 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess : nouvelle politique |
1 |
Politique initiale |
6 octobre 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
7 |
Ajoutez les autorisations |
29 septembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccès - Mise à jour d'une politique existante |
2 |
Ajoutez les autorisations |
29 septembre 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
6 |
Ajouter l’autorisation |
29 août 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
5 |
Ajoutez les autorisations |
24 juillet 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
4 |
Ajoutez les autorisations |
4 mai 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
3 |
Ajoutez les autorisations |
24 mars 2023 |
|
AmazonSageMakerCanvasAIServicesAccès - Nouvelle politique |
1 |
Politique initiale |
23 mars 2023 |
AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante |
2 |
Ajouter l'autorisation |
6 décembre 2022 |
AmazonSageMakerCanvasFullAccess - Nouvelle politique |
1 |
Politique initiale |
8 septembre 2022 |
|
AmazonSageMakerCanvasForecastAccess : nouvelle politique |
1 |
Politique initiale |
24 août 2022 |
