Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Politiques gérées pour les SageMaker ordinateurs portables
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker blocs-notes. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI met à jour les SageMaker politiques gérées par AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS politique gérée : AmazonSageMakerNotebooksServiceRolePolicy
Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Notebooks. La politique est ajoutée à `AWSServiceRoleForAmazonSageMakerNotebooks` celle créée lors de l'intégration à Amazon SageMaker Studio Classic. Pour plus d’informations sur les rôles liés à un service, consultez [Rôles liés à un service](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Pour de plus amples informations, consultez [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `elasticfilesystem` – Permet aux principaux de créer et de supprimer des systèmes de fichiers Amazon Elastic File System (EFS), des points d'accès et des cibles de montage. Ils sont limités à ceux marqués avec la clé *ManagedByAmazonSageMakerResource*. Permet aux principaux de décrire tous les systèmes de fichiers EFS, les points d'accès et les cibles de montage. Permet aux principaux de créer ou de remplacer des balises pour les points d'accès EFS et les cibles de montage.
+ `ec2` – Permet aux principaux de créer des interfaces réseau et des groupes de sécurité pour les instances Amazon Elastic Compute Cloud (EC2). Permet également aux principaux de créer et de remplacer des balises pour ces ressources.
+ `sso` : permet aux principaux d’ajouter et de supprimer des instances d’applications gérées dans AWS IAM Identity Center.
+ `sagemaker`— Permet aux directeurs de créer et de lire SageMaker des profils d'utilisateurs et des espaces d' SageMaker IA, de supprimer des espaces d' SageMaker IA et des applications d' SageMaker IA, et d'ajouter et de répertorier des balises.
+ `fsx`— Permet aux responsables de décrire le système de fichiers Amazon FSx for Lustre et d'utiliser les métadonnées pour le monter sur un bloc-notes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les SageMaker politiques gérées par AI Notebooks
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) : mise à jour d’une stratégie existante | 10 | Ajouter l’autorisation `fsx:DescribeFileSystems`. | 14 novembre 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) : mise à jour d’une stratégie existante | 9 | Ajouter l’autorisation `sagemaker:DeleteApp`. | 24 juillet 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 8 | Ajoutez les autorisations `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` et `sagemaker:AddTags`. | 22 mai 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 7 | Ajouter l’autorisation `elasticfilesystem:TagResource`. | 9 mars 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 6 | Ajoutez les autorisations `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` et `elasticfilesystem:DescribeAccessPoints`. | 12 janvier 2023 |
| | | SageMaker AI a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 1er juin 2021 |