Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de la sécurité dans Amazon SageMaker AI
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon SageMaker AI, consultez la section [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de l' SageMaker IA. Les rubriques suivantes expliquent comment configurer l' SageMaker IA pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources d' SageMaker IA.
**Topics**
+ [Confidentialité des données dans Amazon SageMaker AI](data-privacy.md)
+ [Protection des données dans Amazon SageMaker AI](data-protection.md)
+ [Gestion des identités et des accès AWS pour Amazon SageMaker AI](security-iam.md)
+ [Journalisation et surveillance](sagemaker-incident-response.md)
+ [Validation de conformité pour Amazon SageMaker AI](sagemaker-compliance.md)
+ [La résilience dans Amazon SageMaker AI](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans Amazon SageMaker AI](infrastructure-security.md)
# Confidentialité des données dans Amazon SageMaker AI
Amazon SageMaker AI collecte des informations agrégées sur l'utilisation des bibliothèques AWS détenues et open source utilisées pendant la formation. SageMaker L'IA utilise ces métadonnées agrégées pour améliorer les services et l'expérience client.
Les sections suivantes fournissent des explications sur le type de métadonnées collectées par l' SageMaker IA et sur la manière de refuser la collecte de métadonnées.
## Type d’informations à collecter
**Informations d’utilisation**
Métadonnées provenant de bibliothèques AWS détenues et open source utilisées pour la SageMaker formation, telles que celles utilisées pour la formation distribuée, la compilation et la quantification.
**Erreurs**
Erreurs dues à un comportement inattendu, notamment des défaillances, des pannes, des cascades et des défaillances résultant de l'interaction avec la plateforme de SageMaker formation.
## Comment désactiver la collecte de métadonnées
Vous pouvez choisir de ne pas partager les métadonnées agrégées avec la SageMaker formation lorsque vous créez une tâche de formation à l'aide de l'`CreateTrainingJob`API. Si vous utilisez la console pour créer des tâches d’entraînement, la collecte de métadonnées est désactivée par défaut.
**Important**
Vous devez choisir de refuser la collecte de métadonnées pour chaque tâche d’entraînement que vous soumettez. Vous devez également choisir de vous désinscrire dans un appel d’API, comme illustré dans les exemples suivants. Vous ne pouvez pas choisir de vous désinscrire dans un script d’entraînement.
La section suivante explique comment vous pouvez désactiver la collecte de métadonnées à l'aide du AWS CLI SDK Python ou du SDK SageMaker Python. AWS SDK pour Python (Boto3)
### Désactiver la collecte de métadonnées à l'aide du AWS Command Line Interface (AWS CLI)
Pour désactiver la collecte de métadonnées à l'aide de AWS CLI, définissez la variable `OPT_OUT_TRACKING` d'environnement sur `1` dans l'`create-training-job`API, comme indiqué dans l'exemple de code suivant.
```
aws sagemaker create-training-job \
--training-job-name your_job_name \
--algorithm-specification AlgorithmName=your_algorithm_name\
--output-data-config S3OutputPath=s3://bucket-name/key-name-prefix \
--resource-config InstanceType=ml.c5.xlarge, InstanceCount=1 \
--stopping-condition MaxRuntimeInSeconds=100 \
--environment OPT_OUT_TRACKING=1
```
### Désactiver la collecte de métadonnées à l'aide du AWS SDK pour Python (Boto3)
Pour désactiver la collecte de métadonnées à l’aide du kit SDK pour Python (Boto3), définissez la variable d’environnement `OPT_OUT_TRACKING` sur `1` dans l’API `create_training_job`, comme indiqué dans l’exemple de code suivant.
```
boto3.client('sagemaker').create_training_job(
TrainingJobName='your_training_job',
AlgorithmSpecification={
'AlgorithmName': 'your_algorithm_name',
'TrainingInputMode': 'File',
},
RoleArn='your_arn',
OutputDataConfig={
'S3OutputPath': 's3://bucket-name/key-name-prefix',
},
ResourceConfig={
'InstanceType': 'ml.m4.xlarge',
'InstanceCount': 1,
'VolumeSizeInGB': 123,
},
StoppingCondition={
'MaxRuntimeInSeconds': 123,
},
Environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Désactiver la collecte de métadonnées à l'aide du SDK SageMaker Python
Pour désactiver la collecte de métadonnées à l'aide du SDK SageMaker Python, définissez la variable d'environnement de manière `OPT_OUT_TRACKING` à ce qu'elle se `1` trouve dans un estimateur SageMaker AI, comme indiqué dans l'exemple de code suivant.
```
sagemaker.estimator(
image_uri='path_to_container',
role='rolearn',
instance_count=1,
instance_type='ml.c5.xlarge',
environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Désactivation de la collecte des métadonnées à l’échelle des comptes
Si vous souhaitez désactiver la collecte de métadonnées pour plusieurs comptes, vous pouvez définir une variable d’environnement pour désactiver le suivi à l’échelle des comptes. Vous devez utiliser le SDK SageMaker AI Python pour refuser la collecte de métadonnées au niveau du compte.
L’exemple de code suivant illustre comment désactiver le suivi à l’échelle des comptes.
```
SchemaVersion: '1.0'
SageMaker:
TrainingJob:
Environment:
'OPT_OUT_TRACKING': '1'
```
Pour plus d'informations sur la façon de désactiver le suivi à l'échelle du compte, consultez [Configuration et utilisation des valeurs par défaut avec le SDK Python SageMaker ](https://sagemaker.readthedocs.io/en/stable/overview.html#id22).
## Informations supplémentaires
**Si votre service en aval dépend de la formation à SageMaker l'IA**
Si vous exploitez un service qui repose sur la SageMaker formation, il est vivement recommandé d'informer votre client de la collecte de métadonnées agrégées sur la plateforme de SageMaker formation et de lui proposer le choix de se désinscrire. Vous pouvez également refuser la collecte des métadonnées au nom de votre client.
**Si vous êtes client ou client d'un service utilisant l' SageMaker IA, la formation**
Si vous êtes client ou client d'un service qui utilise la SageMaker formation, utilisez la méthode que vous préférez dans la section précédente pour refuser la collecte de métadonnées.
# Protection des données dans Amazon SageMaker AI
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Amazon SageMaker AI. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon SageMaker AI ou une autre entreprise Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
**Topics**
+ [Protéger les données au repos à l’aide du chiffrement](encryption-at-rest.md)
+ [Protection des données en transit à l’aide du chiffrement](encryption-in-transit.md)
+ [Gestion des clés](key-management.md)
+ [Confidentialité du trafic inter-réseaux](inter-network-privacy.md)
# Protéger les données au repos à l’aide du chiffrement
Amazon SageMaker AI chiffre automatiquement vos données à l'aide d'un Clé gérée par AWS pour Amazon S3 (SSE-S3) par défaut pour les fonctionnalités suivantes : blocs-notes Studio, instances de blocs-notes, données de création de modèles, artefacts de modèles et résultats des tâches de formation, de transformation par lots et de traitement.
Pour l'accès entre comptes, vous devez spécifier votre propre clé gérée par le client lors de la création de ressources d' SageMaker IA, car la valeur par défaut Clé gérée par AWS d'Amazon S3 ne peut pas être partagée entre les comptes. Pour la sortie de données vers Amazon S3 Express One Zone, les données sont chiffrées à l’aide d’un chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). En outre, les données sorties vers les compartiments d'annuaire Amazon S3 ne peuvent pas être chiffrées à l'aide du chiffrement côté serveur à l'aide de AWS Key Management Service clés (SSE-KMS). Pour plus d'informations AWS KMS, voir [Qu'est-ce que c'est AWS Key Management Service ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Topics**
+ [Blocs-notes Studio](encryption-at-rest-studio.md)
+ [Instances de bloc-notes, tâches d' SageMaker IA et points de terminaison](encryption-at-rest-nbi.md)
+ [SageMaker capacités géospatiales](geospatial-encryption-at-rest.md)
# Blocs-notes Studio
Dans Amazon SageMaker Studio, vos blocs-notes et données SageMaker Studio peuvent être stockés aux emplacements suivants :
+ Un compartiment S3 : lorsque vous intégrez Studio et que vous activez les ressources de bloc-notes partageables, SageMaker AI partage les instantanés et les métadonnées des blocs-notes dans un compartiment Amazon Simple Storage Service (Amazon S3).
+ Un volume EFS : lorsque vous intégrez Studio, SageMaker AI attache un volume Amazon Elastic File System (Amazon EFS) à votre domaine pour stocker vos blocs-notes et fichiers de données Studio. Le volume EFS persiste après la suppression du domaine.
+ Un volume EBS – Lorsque vous ouvrez un bloc-notes dans Studio, un Amazon Elastic Block Store (Amazon EBS) est attaché à l'instance sur laquelle s'exécute le bloc-notes. Le volume EBS persiste pendant la durée de l’instance.
SageMaker AI utilise le AWS Key Management Service (AWS KMS) pour chiffrer le compartiment S3 et les deux volumes. Par défaut, il utilise une clé KMS gérée dans un compte de service AWS . Pour plus de contrôle, vous pouvez spécifier votre propre clé gérée par le client lors de votre intégration à Studio ou via l' SageMaker API. Pour plus d’informations, consultez [Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md) et [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
Dans l'API `CreateDomain`, vous utilisez le paramètre `S3KmsKeyId` pour spécifier la clé gérée par le client pour les blocs-notes partageables. Vous utilisez le paramètre `KmsKeyId` pour spécifier la clé gérée par le client pour les volumes EFS et EBS. La même clé gérée par le client est utilisée pour les deux volumes. La clé gérée par le client pour les blocs-notes partageables peut être la même clé gérée par le client que celle utilisée pour les volumes ou une autre clé gérée par le client.
**Important**
Le répertoire de travail de vos utilisateurs dans le volume de stockage est `/home/sagemaker-user`. Si vous spécifiez votre propre AWS KMS clé, tout le contenu du répertoire de travail est chiffré à l'aide de votre clé gérée par le client. Si vous ne spécifiez pas de AWS KMS clé, les données qu'elles contiennent `/home/sagemaker-user` sont chiffrées à l'aide d'une clé AWS gérée. Que vous spécifiiez ou non une AWS KMS clé, toutes les données situées en dehors du répertoire de travail sont chiffrées à l'aide d'une clé AWS gérée.
# Instances de bloc-notes, tâches d' SageMaker IA et points de terminaison
Pour chiffrer le volume de stockage d'apprentissage automatique (ML) attaché aux blocs-notes, aux tâches de traitement, aux tâches de formation, aux tâches de réglage des hyperparamètres, aux tâches de transformation par lots et aux terminaux, vous pouvez transmettre une AWS KMS clé à AI. SageMaker Si vous ne spécifiez pas de clé KMS, SageMaker AI chiffre les volumes de stockage à l'aide d'une clé transitoire et la supprime immédiatement après le chiffrement du volume de stockage. Pour les instances de bloc-notes, si vous ne spécifiez pas de clé KMS, SageMaker AI chiffre à la fois les volumes du système d'exploitation et les volumes de données ML à l'aide d'une clé KMS gérée par le système.
Vous pouvez utiliser une AWS KMS clé AWS gérée pour chiffrer tous les volumes du système d'exploitation de l'instance. Vous pouvez chiffrer tous les volumes de données ML pour toutes les instances d' SageMaker IA à l'aide d'une AWS KMS clé que vous spécifiez. Les volumes de stockage ML sont montés comme suit :
+ Blocs-notes : `/home/ec2-user/SageMaker`
+ Traitement : `/opt/ml/processing` et `/tmp/`
+ Entraînement : `/opt/ml/` et `/tmp/`
+ Traitement par lots : `/opt/ml/` et `/tmp/`
+ Points de terminaison : `/opt/ml/` et `/tmp/`
Les conteneurs des tâches de traitement, de traitement par lots et d’entraînement, ainsi que leur stockage, sont de nature éphémère. Lorsque le travail est terminé, la sortie est téléchargée sur Amazon S3 à l'aide d'un AWS KMS chiffrement avec une AWS KMS clé optionnelle que vous spécifiez et l'instance est démolie. Si aucune AWS KMS clé n'est fournie dans la demande de travail, SageMaker AI utilise la AWS KMS clé par défaut d'Amazon S3 pour le compte de votre rôle. Si les données de sortie sont stockées dans Amazon S3 Express One Zone, elles sont chiffrées à l’aide d’un chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Le chiffrement côté serveur à l'aide de AWS KMS clés (SSE-KMS) n'est actuellement pas pris en charge pour le stockage des données de sortie de l' SageMaker IA dans les compartiments d'annuaire Amazon S3.
**Note**
La politique clé d'une clé AWS gérée pour Amazon S3 ne peut pas être modifiée. Par conséquent, les autorisations entre comptes ne peuvent pas être accordées pour ces politiques clés. Si le compartiment Amazon S3 de sortie pour la demande provient d'un autre compte, spécifiez votre propre clé AWS KMS client dans la demande de tâche et assurez-vous que le rôle d'exécution de la tâche est autorisé à chiffrer les données avec cette clé.
**Important**
Les données sensibles qui doivent être chiffrées avec une clé KMS pour des raisons de conformité doivent être stockées dans le volume de stockage ML ou dans Amazon S3, tous deux pouvant être chiffrés à l’aide d’une clé KMS que vous spécifiez.
Lorsque vous ouvrez une instance de bloc-notes, SageMaker AI l'enregistre, ainsi que tous les fichiers qui lui sont associés, dans le dossier SageMaker AI du volume de stockage ML par défaut. Lorsque vous arrêtez une instance de bloc-notes, SageMaker AI crée un instantané du volume de stockage ML. Toutes les personnalisations du système d'exploitation de l'instance arrêtée, telles que les bibliothèques personnalisées installées ou les paramètres au niveau du système d'exploitation, enregistrées en dehors du dossier `/home/ec2-user/SageMaker` sont perdues. Pensez à utiliser une configuration de cycle de vie pour automatiser les personnalisations de l’instance de bloc-notes par défaut. Lorsque vous terminez une instance, le snapshot et le volume de stockage ML sont supprimés. Toutes les données dont vous avez besoin au-delà de la durée de vie de l’instance de bloc-notes doivent être transférées dans un compartiment Amazon S3.
Si l'instance du bloc-notes n'est pas mise à jour et exécute un logiciel non sécurisé, SageMaker AI peut régulièrement mettre à jour l'instance dans le cadre d'une maintenance régulière. Au cours de ces mises à jour, les données situées en dehors du dossier ne `/home/ec2-user/SageMaker` sont pas conservées. Pour plus d'informations sur les correctifs de maintenance et de sécurité, consultez[Maintenance](nbi.md#nbi-maintenance).
**Note**
Certaines instances d' SageMaker IA basées sur Nitro incluent le stockage local, selon le type d'instance. Les volumes de stockage local sont chiffrés à l’aide d’un module matériel sur l’instance. Vous ne pouvez pas utiliser de clé KMS sur un type d’instance avec un stockage local. Pour obtenir la liste des types d’instance qui prennent en charge le stockage d’instance local, consultez [Volumes de stockage d’instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes). Pour plus d'informations sur les volumes de stockage sur les instances basées sur Nitro, consultez [Amazon EBS et NVMe sur les instances Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Pour plus d’informations sur le chiffrement du stockage d’instance local, consultez [Volumes de stockage d’instance SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
# SageMaker capacités géospatiales
Vous pouvez protéger vos données au repos en utilisant le chiffrement pour les données SageMaker géospatiales.
**Chiffrement côté serveur avec clé appartenant à Amazon SageMaker Geospatial (par défaut)**
Les fonctionnalités SageMaker géospatiales d'Amazon chiffrent toutes vos données, y compris les résultats de calcul provenant de vos métadonnées de `EarthObservationJobs` service et `VectorEnrichmentJobs` de celles de celles-ci. Aucune donnée n'est stockée non cryptée dans Amazon SageMaker AI. Il utilise une valeur par défaut Clé détenue par AWS pour chiffrer toutes vos données.
**Chiffrement côté serveur avec clés KMS stockées dans AWS Key Management Service (SSE-KMS)**
Les fonctionnalités SageMaker géospatiales d'Amazon prennent en charge le chiffrement à l'aide d'une clé KMS appartenant au client. Pour plus d'informations, consultez [Utiliser AWS KMS les autorisations pour les fonctionnalités SageMaker géospatiales d'Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/geospatial-kms.html).
# Protection des données en transit à l’aide du chiffrement
Toutes les données en transit inter-réseau prennent en charge le chiffrement TLS 1.2. Nous vous recommandons d’utiliser TLS 1.3.
Avec Amazon SageMaker AI, les artefacts du modèle d'apprentissage automatique (ML) et les autres artefacts du système sont chiffrés en transit et au repos. Les demandes adressées à l'API et à la console SageMaker AI sont effectuées via une connexion sécurisée (SSL). Vous transmettez Gestion des identités et des accès AWS des rôles à l' SageMaker IA pour autoriser l'accès aux ressources en votre nom à des fins de formation et de déploiement.
Certaines données en transit intra-réseau (au sein de la plateforme de service) ne sont pas chiffrées. Cela inclut notamment les éléments suivants :
+ Communications de commande et de contrôle entre le plan de contrôle de service et les instances de tâche d’entraînement (pas les données client).
+ Communications entre les nœuds dans les tâches de traitement distribuées (intra-réseau).
+ Communications entre les nœuds dans les tâches d'entraînement distribué (intra-réseau).
Il n’existe aucune communication entre les nœuds pour le traitement par lots.
Vous pouvez choisir de chiffrer les communications entre les nœuds d'un cluster de tâches de formation et d'un cluster de tâches de traitement.
**Note**
Pour les cas d'utilisation dans le secteur de la santé, la bonne pratique en matière de sécurité consiste à chiffrer les communications entre les nœuds.
Pour plus d'informations sur la procédure à suivre pour chiffrer les communications, consultez la rubrique suivante : [Protection des communications entres instances de calcul ML dans une tâche d’entraînement distribué](train-encrypt.md).
**Note**
Le chiffrement du trafic entre conteneurs peut augmenter la durée de l'entraînement, surtout si vous utilisez des algorithmes de deep learning distribués. Pour les algorithmes concernés, ce niveau de sécurité supplémentaire augmente également les coûts. Le temps de formation de la plupart des algorithmes intégrés à l' SageMaker IA XGBoost, tels que DeePar et Linear Learner, n'est généralement pas affecté.
Des points de terminaison validés FIPS sont disponibles pour l'API SageMaker AI et le routeur de requêtes pour les modèles hébergés (runtime). Pour plus d’informations sur les points de terminaison conformes aux standards FIPS, consultez [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
## Protégez les communications avec RStudio Amazon SageMaker AI
RStudio sur Amazon SageMaker AI fournit un chiffrement pour toutes les communications impliquant des composants d' SageMaker IA. Cependant, la version précédente ne prenait pas en charge le chiffrement entre les RSession applications RStudio ServerPro et.
RStudio a publié la version 2022.02.2-485.pro2 en avril 2022. Cette version prend en charge le chiffrement entre RStudio ServerPro et RSession les applications pour activer end-to-end le chiffrement. La mise à niveau de version n'est toutefois pas totalement rétrocompatible. Par conséquent, vous devez mettre à jour toutes vos RSession applications RStudio ServerPro et applications. Pour plus d’informations sur la mise à jour de vos applications, consultez [RStudio Versionnage](rstudio-version.md).
# Protection des communications entres instances de calcul ML dans une tâche d’entraînement distribué
Par défaut, Amazon SageMaker AI exécute des tâches de formation dans un Amazon Virtual Private Cloud (Amazon VPC) afin de garantir la sécurité de vos données. Pour protéger vos conteneurs d’entraînement et vos données, vous pouvez ajouter un autre niveau de sécurité en configurant un VPC *privé*. Les infrastructures et algorithmes ML distribués transmettent généralement des informations qui sont directement liées au modèle, telles que les pondérations, et non au jeu de données. Lorsque vous effectuez un entraînement distribué, vous pouvez mieux protéger les données qui sont transmises entre les instances. Cela peut vous aider à respecter les exigences réglementaires. Pour ce faire, utilisez le chiffrement du trafic entre conteneurs.
**Note**
Pour les cas d'utilisation dans le secteur de la santé, la bonne pratique en matière de sécurité consiste à chiffrer les communications entre les nœuds.
L’activation du chiffrement du trafic entre conteneurs peut augmenter la durée de l’entraînement, surtout si vous utilisez des algorithmes de deep learning distribués. L’activation du chiffrement du trafic entre conteneurs n’affecte pas les tâches d’entraînement ayant une instance de calcul unique. Cependant, pour les tâches d’entraînement possédant plusieurs instances de calcul, l’incidence sur la durée d’entraînement dépend du volume de communication entre les instances de calcul. Pour les algorithmes concernés, l’ajout de ce niveau de sécurité augmente également les coûts. Le temps de formation de la plupart des algorithmes intégrés à l' SageMaker IA XGBoost, tels que DeePar et Linear Learner, n'est généralement pas affecté.
Vous pouvez activer le chiffrement du trafic entre conteneurs pour les tâches d’entraînement ou les tâches de réglage d’hyper-paramètre. Vous pouvez utiliser notre SageMaker APIs console pour activer le chiffrement du trafic entre conteneurs.
Pour plus d’informations sur l’exécution de tâches d’entraînement dans un VPC privé, consultez [Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC](train-vpc.md).
## Activez le chiffrement du trafic entre conteneurs (API)
Avant d'activer le chiffrement du trafic inter-conteneurs lors de tâches d'entraînement ou de réglage d'hyperparamètres APIs, ajoutez des règles entrantes et sortantes au groupe de sécurité de votre VPC privé.
**Pour activer le chiffrement du trafic entre conteneurs (API)**
1. Ajoutez les règles entrantes et sortantes suivantes au groupe de sécurité de votre VPC privé :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/train-encrypt.html)
1. Lorsque vous envoyez une requête à l’API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), spécifiez `True` pour le paramètre `EnableInterContainerTrafficEncryption`.
**Note**
Pour le `ESP 50` protocole, la console du groupe AWS de sécurité peut afficher la plage de ports sous la forme « Tous ». Toutefois, Amazon EC2 ignore la plage de ports indiquée, car elle n'est pas applicable pour le protocole IP ESP 50.
## Activer le chiffrement du trafic entre conteneurs (Console)
### Activer le chiffrement du trafic entre conteneurs dans une tâche d’entraînement
**Pour activer le chiffrement du trafic entre conteneurs dans une tâche d’entraînement**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Training (Entraînement)**, puis **Training jobs (Tâches d’entraînement)**.
1. Choisissez **Create training job (Créer une tâche d'entraînement)**.
1. Dans **Network (Réseau)**, choisissez un **VPC**. Vous pouvez utiliser le VPC par défaut ou un VPC que vous avez créé.
1. Choisissez **Enable inter-container traffic encryption (Activer le chiffrement du trafic entre conteneurs)**.
Une fois que vous avez activé le chiffrement du trafic entre conteneurs, achevez la création de la tâche d’entraînement. Pour de plus amples informations, veuillez consulter [Entraînement d’un modèle](ex1-train-model.md).
### Activez le chiffrement du trafic entre conteneurs dans une tâche de réglage d’hyper-paramètre
**Pour activer le chiffrement du trafic entre conteneurs dans une tâche de réglage d’hyper-paramètre**
1. Ouvrez la console Amazon SageMaker AI à l'adresse [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Dans le panneau de navigation, choisissez **Training (Entraînement)**, puis **Hyperparameter tuning jobs (Tâches de réglage d’hyper-paramètre)**.
1. Choisissez **Create hyperparameter tuning job (Créer une tâche de réglage d'hyperparamètre)**.
1. Dans **Network (Réseau)**, choisissez un **VPC**. Vous pouvez utiliser le VPC par défaut ou un VPC que vous avez créé.
1. Choisissez **Enable inter-container traffic encryption (Activer le chiffrement du trafic entre conteneurs)**.
Une fois que vous avez activé le chiffrement du trafic entre conteneurs, achevez la création de la tâche de réglage d’hyper-paramètre. Pour de plus amples informations, veuillez consulter [Configuration et lancement de la tâche de réglage des hyperparamètres](automatic-model-tuning-ex-tuning-job.md).
# Gestion des clés
Les clients peuvent spécifier des AWS KMS clés, notamment Bring Your Own Keys (BYOK), à utiliser pour le chiffrement des enveloppes avec les input/output buckets Amazon S3 et les volumes Amazon EBS basés sur le machine learning (ML). Les volumes ML pour les instances de blocs-notes et pour le traitement, la formation et les modèles de conteneurs Docker hébergés peuvent être chiffrés en option à l'aide de clés appartenant AWS KMS au client. Tous les volumes du système d'exploitation de l'instance sont chiffrés à l'aide d'une AWS KMS clé AWS gérée.
**Note**
Certaines instances basées sur Nitro incluent un stockage local, dépendant du type d’instance. Les volumes de stockage local sont chiffrés à l’aide d’un module matériel sur l’instance. Vous ne pouvez pas demander une valeur `VolumeKmsKeyId` lorsque vous utilisez un type d’instance avec stockage local.
Pour obtenir la liste des types d’instance qui prennent en charge le stockage d’instance local, consultez [Volumes de stockage d’instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes).
Pour plus d’informations sur le chiffrement du stockage d’instance local, consultez [Volumes de stockage d’instance SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
Pour plus d'informations sur les volumes de stockage sur les instances basées sur Nitro, consultez [Amazon EBS et NVMe sur les instances Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Pour plus d'informations sur AWS KMS les clés, voir [Qu'est-ce que le service de gestion des AWS clés ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Guide AWS Key Management Service du développeur*.
# Confidentialité du trafic inter-réseaux
Cette rubrique décrit comment Amazon SageMaker AI sécurise les connexions entre le service et d'autres sites.
Les communications inter-réseau prennent en charge le chiffrement TLS 1.2 entre tous les composants et clients. Nous recommandons TLS 1.3.
Les instances peuvent être connectées au VPC client, ce qui permet d’accéder aux points de terminaison de VPC S3 ou aux référentiels client. La sortie Internet peut être gérée via cette interface par le client si la sortie Internet de la plateforme de service est désactivée pour les blocs-notes. Pour l’entraînement et l'hébergement, la sortie via la plateforme de service n'est pas disponible lorsqu'elle est connectée au VPC du client.
Par défaut, les appels d’API effectués vers des points de terminaison publiés traversent le réseau public vers le routeur de demande. SageMaker L'IA prend en charge les points de terminaison de l'interface Amazon Virtual Private Cloud alimentés par AWS PrivateLink une connectivité privée entre le VPC du client et le routeur de demande afin d'accéder aux points de terminaison des modèles hébergés. Pour obtenir des informations sur Amazon VPC, consultez [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md).
# Gestion des identités et des accès AWS pour Amazon SageMaker AI
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources de l' SageMaker IA. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon SageMaker AI fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
+ [Prévention du problème de l’adjoint confus entre services](security-confused-deputy-prevention.md)
+ [Comment utiliser les rôles d'exécution de l' SageMaker IA](sagemaker-roles.md)
+ [Amazon SageMaker Role Manager](role-manager.md)
+ [Contrôle d’accès pour les blocs-notes](security-access-control.md)
+ [Autorisations d'API Amazon SageMaker AI : référence sur les actions, les autorisations et les ressources](api-permissions-reference.md)
+ [AWS politiques gérées pour Amazon SageMaker AI](security-iam-awsmanpol.md)
+ [Résolution des problèmes liés à Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes liés à Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon SageMaker AI fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité Amazon SageMaker AI](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon SageMaker AI fonctionne avec IAM
**Important**
Les politiques IAM personnalisées qui permettent à Amazon SageMaker Studio ou Amazon SageMaker Studio Classic de créer des SageMaker ressources Amazon doivent également accorder des autorisations pour ajouter des balises à ces ressources. L’autorisation d’ajouter des balises aux ressources est requise, car Studio et Studio Classic balisent automatiquement toutes les ressources qu’ils créent. Si une politique IAM autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources. Pour de plus amples informations, veuillez consulter [Fournir des autorisations pour le balisage des ressources d' SageMaker IA](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS politiques gérées pour Amazon SageMaker AI](security-iam-awsmanpol.md)qui donnent des autorisations pour créer des SageMaker ressources incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.
Avant d'utiliser IAM pour gérer l'accès à l' SageMaker IA, vous devez comprendre quelles fonctionnalités IAM peuvent être utilisées avec SageMaker l'IA. Pour obtenir une vue d'ensemble de la façon dont l' SageMaker IA et les autres AWS services fonctionnent avec IAM, voir [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_aws-services-that-work-with-iam.html) dans la référence *d'autorisation des services*.
**Topics**
+ [Politiques basées sur l'identité pour Amazon AI SageMaker](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources au sein d'Amazon AI SageMaker](#security_iam_service-with-iam-resource-based-policies)
+ [Actions politiques pour Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressources relatives aux politiques pour Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-resources)
+ [Clés de conditions de politique pour Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Autorisation basée sur des balises SageMaker AI](#security_iam_service-with-iam-tags)
+ [SageMaker Rôles AI IAM](#security_iam_service-with-iam-roles)
## Politiques basées sur l'identité pour Amazon AI SageMaker
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. SageMaker L'IA prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) dans la *Référence de l’autorisation de service*.
## Politiques basées sur les ressources au sein d'Amazon AI SageMaker
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou AWS des services.
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. L’ajout d’un principal intercompte à une politique basée sur les ressources ne représente qu’une partie de l’instauration de la relation d’approbation. Quand le principal et la ressource se trouvent dans des comptes AWS différents, un administrateur IAM dans le compte approuvé doit également accorder à l’entité principale (utilisateur ou rôle) l’autorisation d’accéder à la ressource. Pour ce faire, il attache une politique basée sur une identité à l’entité. Toutefois, si une politique basée sur des ressources accorde l’accès à un principal dans le même compte, aucune autre politique basée sur l’identité n’est requise. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
**Note**
[AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)À utiliser pour partager en toute sécurité les ressources d' SageMaker IA prises en charge. Pour trouver la liste des ressources partageables, consultez la section Ressources [Amazon SageMaker AI partageables](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
## Actions politiques pour Amazon SageMaker AI
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques en SageMaker IA utilisent le préfixe suivant avant l'action :`sagemaker:`. Par exemple, pour autoriser quelqu'un à exécuter une SageMaker tâche de formation à l' SageMaker IA avec l'opération d'`CreateTrainingJob`API AI, vous incluez l'`sagemaker:CreateTrainingJob`action dans sa politique. Les déclarations de politique doivent inclure un `NotAction` élément `Action` ou. SageMaker L'IA définit son propre ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"sagemaker:action1",
"sagemaker:action2"
]
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante :
```
"Action": "sagemaker:Describe*"
```
Pour consulter la liste des actions de l' SageMaker IA, consultez la section [Actions, ressources et clés de condition pour Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) dans le *Service Authorization Reference*.
## Ressources relatives aux politiques pour Amazon SageMaker AI
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Les instructions doivent inclure un élément `Resource` ou `NotResource`. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination *autorisations de niveau ressource*.
Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de ressources Amazon SageMaker AI et de leurs caractéristiques ARNs, consultez les références suivantes concernant les actions, les types de ressources et les clés de condition définis par Amazon SageMaker AI dans le *Service Authorization Reference*.
+ [Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)
+ [Fonctionnalités SageMaker géospatiales d'Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)
+ [Amazon SageMaker Ground Truth Synthetic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergroundtruthsynthetic.html)
+ [Amazon SageMaker AI avec MLflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakerwithmlflow.html)
Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
## Clés de conditions de politique pour Amazon SageMaker AI
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
SageMaker L'IA définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir Clés [contextuelles de condition AWS globales](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_condition-keys.html) dans la *référence d'autorisation de service*.
SageMaker L'IA prend en charge un certain nombre de clés de condition spécifiques à un service que vous pouvez utiliser pour un contrôle d'accès précis pour les opérations suivantes :
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html)
Pour consulter la liste des clés de condition SageMaker AI, consultez la section [Clés de condition pour Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) dans le *Service Authorization Reference*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
Pour des exemples d'utilisation des clés de condition SageMaker AI, consultez ce qui suit : [Contrôlez la création de ressources d' SageMaker IA à l'aide de clés de condition](security_iam_id-based-policy-examples.md#sagemaker-condition-examples)
### Exemples
Pour consulter des exemples de politiques basées sur l'identité basée sur l' SageMaker IA, consultez. [Exemples de politiques basées sur l'identité Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
## Autorisation basée sur des balises SageMaker AI
Vous pouvez associer des balises aux ressources de l' SageMaker IA ou transmettre des balises dans une demande à l' SageMaker IA. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `sagemaker:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources d' SageMaker IA, consultez[Contrôlez l'accès aux ressources de SageMaker l'IA à l'aide de balises](security_iam_id-based-policy-examples.md#access-tag-policy).
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Contrôlez l'accès aux ressources de SageMaker l'IA à l'aide de balises](security_iam_id-based-policy-examples.md#access-tag-policy).
## SageMaker Rôles AI IAM
Un [rôle IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles.html) est une entité de votre AWS compte qui dispose d'autorisations spécifiques.
### Utilisation d'informations d'identification temporaires avec l' SageMaker IA
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
SageMaker L'IA prend en charge l'utilisation d'informations d'identification temporaires.
### Rôles liés à un service
SageMaker L'IA prend partiellement en charge les [rôles liés aux services](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Les rôles liés à un service sont actuellement disponibles pour SageMaker Studio Classic.
### Rôles du service
Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-role) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
SageMaker L'IA soutient les rôles de service.
### Choisir un rôle IAM dans l'IA SageMaker
Lorsque vous créez une instance de bloc-notes, une tâche de traitement, une tâche de formation, un point de terminaison hébergé ou une ressource de travail de transformation par lots dans l' SageMaker IA, vous devez choisir un rôle pour permettre à l' SageMaker IA d'accéder à l' SageMaker IA en votre nom. Si vous avez déjà créé un rôle de service ou un rôle lié à un service, l' SageMaker IA vous fournit une liste de rôles parmi lesquels choisir. Il est important de choisir un rôle qui permet d'accéder aux AWS opérations et aux ressources dont vous avez besoin. Pour de plus amples informations, veuillez consulter [Comment utiliser les rôles d'exécution de l' SageMaker IA](sagemaker-roles.md).
# Exemples de politiques basées sur l'identité Amazon SageMaker AI
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier des ressources d' SageMaker IA. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations. Pour découvrir comment attacher des politiques à un utilisateur ou à un groupe IAM, consultez [Ajout et suppression d’autorisations d’identité IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_manage-attach-detach.html) dans la *Référence de l’autorisation de service*.
Pour apprendre à créer une politique IAM basée sur l’identité à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l’onglet JSON](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_create.html#access_policies_create-json-editor).
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console SageMaker AI](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Contrôlez la création de ressources d' SageMaker IA à l'aide de clés de condition](#sagemaker-condition-examples)
+ [Contrôlez l'accès à l'API SageMaker AI en utilisant des politiques basées sur l'identité](#api-access-policy)
+ [Limitez l'accès à l'API SageMaker AI et aux appels d'exécution par adresse IP](#api-ip-filter)
+ [Limitation de l’accès à une instance de bloc-notes par adresse IP](#nbi-ip-filter)
+ [Contrôlez l'accès aux ressources de SageMaker l'IA à l'aide de balises](#access-tag-policy)
+ [Fournir des autorisations pour le balisage des ressources d' SageMaker IA](#grant-tagging-permissions)
+ [Limitation de l’accès aux ressources consultables avec des conditions de visibilité](#limit-access-to-searchable-resources)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources d' SageMaker IA dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console SageMaker AI
Pour accéder à la console Amazon SageMaker AI, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives aux ressources d' SageMaker IA de votre AWS compte. Si vous créez une politique basée sur l’identité plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas correctement pour les entités tributaires de cette politique. Cela inclut les utilisateurs ou les rôles tributaires de cette politique.
Pour garantir que ces entités peuvent toujours utiliser la console SageMaker AI, vous devez également associer la politique AWS gérée suivante aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/service-authorization/latest/reference/id_users_change-permissions.html#users_change_permissions-add-console) dans la *Référence de l’autorisation de service* :
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
**Topics**
+ [Autorisations requises pour utiliser la console Amazon SageMaker AI](#console-permissions)
+ [Autorisations requises pour utiliser la console Amazon SageMaker Ground Truth](#groundtruth-console-policy)
+ [Autorisations requises pour utiliser la console IA augmentée d’Amazon (version préliminaire)](#amazon-augmented-ai-console-policy)
### Autorisations requises pour utiliser la console Amazon SageMaker AI
Le tableau de référence des autorisations répertorie les opérations de l'API Amazon SageMaker AI et indique les autorisations requises pour chaque opération. Pour plus d'informations sur les opérations de l'API Amazon SageMaker AI, consultez[Autorisations d'API Amazon SageMaker AI : référence sur les actions, les autorisations et les ressources](api-permissions-reference.md).
Pour utiliser la console Amazon SageMaker AI, vous devez accorder des autorisations pour des actions supplémentaires. Plus précisément, la console a besoin d'autorisations permettant aux `ec2` actions d'afficher des sous-réseaux et VPCs des groupes de sécurité. Le cas échéant, la console nécessite l’autorisation de créer des *rôles d’exécution* pour des tâches telles que `CreateNotebook`, `CreateTrainingJob` et `CreateModel`. Accordez ces autorisations avec la politique d'autorisation suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "VpcConfigurationForCreateForms",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid":"KmsKeysForCreateForms",
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource":"*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListRepositories",
"codecommit:ListBranches",
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid":"ListAndCreateExecutionRoles",
"Effect":"Allow",
"Action":[
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource":"*"
},
{
"Sid": "DescribeECRMetaData",
"Effect": "Allow",
"Action": [
"ecr:Describe*"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
### Autorisations requises pour utiliser la console Amazon SageMaker Ground Truth
Pour utiliser la console Amazon SageMaker Ground Truth, vous devez accorder des autorisations pour des ressources supplémentaires. Plus précisément, la console a besoin d’autorisations pour :
+ le AWS Marketplace pour consulter les abonnements,
+ les opérations Amazon Cognito pour gérer votre main-d’œuvre privée,
+ les actions Amazon S3 pour accéder à vos fichiers d’entrée et de sortie,
+ AWS Lambda actions pour répertorier et invoquer des fonctions
Accordez ces autorisations avec la politique d’autorisation suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"groundtruthlabeling:DescribeConsoleJob",
"groundtruthlabeling:ListDatasetObjects",
"groundtruthlabeling:RunGenerateManifestByCrawlingJob",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
### Autorisations requises pour utiliser la console IA augmentée d’Amazon (version préliminaire)
Pour utiliser la console Augmented AI, vous devez accorder des autorisations pour des ressources supplémentaires. Accordez ces autorisations avec la politique d'autorisation suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*Algorithm",
"sagemaker:*Algorithms",
"sagemaker:*App",
"sagemaker:*Apps",
"sagemaker:*AutoMLJob",
"sagemaker:*AutoMLJobs",
"sagemaker:*CodeRepositories",
"sagemaker:*CodeRepository",
"sagemaker:*CompilationJob",
"sagemaker:*CompilationJobs",
"sagemaker:*Endpoint",
"sagemaker:*EndpointConfig",
"sagemaker:*EndpointConfigs",
"sagemaker:*EndpointWeightsAndCapacities",
"sagemaker:*Endpoints",
"sagemaker:*Experiment",
"sagemaker:*Experiments",
"sagemaker:*FlowDefinitions",
"sagemaker:*HumanLoop",
"sagemaker:*HumanLoops",
"sagemaker:*HumanTaskUi",
"sagemaker:*HumanTaskUis",
"sagemaker:*HyperParameterTuningJob",
"sagemaker:*HyperParameterTuningJobs",
"sagemaker:*LabelingJob",
"sagemaker:*LabelingJobs",
"sagemaker:*Metrics",
"sagemaker:*Model",
"sagemaker:*ModelPackage",
"sagemaker:*ModelPackages",
"sagemaker:*Models",
"sagemaker:*MonitoringExecutions",
"sagemaker:*MonitoringSchedule",
"sagemaker:*MonitoringSchedules",
"sagemaker:*NotebookInstance",
"sagemaker:*NotebookInstanceLifecycleConfig",
"sagemaker:*NotebookInstanceLifecycleConfigs",
"sagemaker:*NotebookInstanceUrl",
"sagemaker:*NotebookInstances",
"sagemaker:*ProcessingJob",
"sagemaker:*ProcessingJobs",
"sagemaker:*RenderUiTemplate",
"sagemaker:*Search",
"sagemaker:*SearchSuggestions",
"sagemaker:*Tags",
"sagemaker:*TrainingJob",
"sagemaker:*TrainingJobs",
"sagemaker:*TransformJob",
"sagemaker:*TransformJobs",
"sagemaker:*Trial",
"sagemaker:*TrialComponent",
"sagemaker:*TrialComponents",
"sagemaker:*Trials",
"sagemaker:*Workteam",
"sagemaker:*Workteams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sagemaker:*FlowDefinition"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListBranches",
"codecommit:ListRepositories",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob",
"glue:GetJobRun",
"glue:GetJobRuns",
"glue:GetJobs",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:PutLogEvents",
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:DescribeResourcePolicies",
"logs:GetLogDelivery",
"logs:ListLogDeliveries",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": "arn:aws:ecr:*:*:repository/*sagemaker*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
}
]
}
```
------
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Contrôlez la création de ressources d' SageMaker IA à l'aide de clés de condition
Contrôlez l'accès détaillé pour permettre la création de ressources d' SageMaker IA à l'aide de clés de condition spécifiques à l' SageMaker IA. Pour obtenir des informations sur l’utilisation de clés de condition dans des politiques IAM, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
Les clés de condition, les actions d'API associées et les liens vers la documentation pertinente sont répertoriés dans la section [Clés de condition pour l' SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) dans la *référence d'autorisation de service*.
Les exemples suivants montrent comment utiliser les clés de condition de l' SageMaker IA pour contrôler l'accès.
**Topics**
+ [Contrôlez l'accès aux ressources de l' SageMaker IA à l'aide des clés de condition du système de fichiers](#access-fs-condition-keys)
+ [Limitation de l’entraînement à un VPC spécifique](#sagemaker-condition-vpc)
+ [Restriction de l’accès aux types de main-d’œuvre pour les tâches d’étiquetage Ground Truth et les flux de vérification humaine Amazon A2I](#sagemaker-condition-keys-labeling)
+ [Application du chiffrement des données d’entrée](#sagemaker-condition-kms)
+ [Application de l’isolement du réseau pour les tâches d’entraînement](#sagemaker-condition-isolation)
+ [Application d’un type d’instance spécifique pour les tâches d’entraînement](#sagemaker-condition-instance)
+ [Application de la désactivation de l’accès Internet et de l’accès racine pour la création d’instances de bloc-notes](#sagemaker-condition-nbi-lockdown)
### Contrôlez l'accès aux ressources de l' SageMaker IA à l'aide des clés de condition du système de fichiers
SageMaker La formation à l'IA fournit une infrastructure sécurisée dans laquelle l'algorithme d'entraînement peut être exécuté, mais dans certains cas, vous souhaiterez peut-être renforcer votre défense en profondeur. Par exemple, vous minimisez le risque d’exécuter du code non approuvé dans votre algorithme ou vous avez des mandats de sécurité spécifiques dans votre organisation. Pour ces scénarios, vous pouvez utiliser les clés de condition spécifiques au service dans l’élément Condition d’une politique IAM pour limiter l’utilisateur à :
+ des systèmes de fichiers spécifiques,
+ des répertoires,
+ des modes d’accès (lecture/écriture, lecture uniquement),
+ groupes de sécurité
**Topics**
+ [Limitation d’un utilisateur IAM à des répertoires et à des modes d’accès spécifiques](#access-fs-condition-keys-ex-dirs)
+ [Limitation d’un utilisateur à un système de fichiers spécifique](#access-fs-condition-keys-ex-fs)
#### Limitation d’un utilisateur IAM à des répertoires et à des modes d’accès spécifiques
La politique suivante limite l'accès des utilisateurs aux `/sagemaker/xgboost-dm/validation` répertoires `/sagemaker/xgboost-dm/train` et d'un système de fichiers EFS à `ro` (lecture seule) : AccessMode
**Note**
Lorsqu’un répertoire est autorisé, tous ses sous-répertoires sont également accessibles par l’algorithme d’entraînement. Les autorisations POSIX sont ignorées.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToElasticFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/train"
}
}
},
{
"Sid": "AccessToElasticFileSystemValidation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/validation"
}
}
}
]
}
```
------
#### Limitation d’un utilisateur à un système de fichiers spécifique
Pour empêcher un algorithme malveillant qui utilise un client d’espace utilisateur d’accéder directement à tout système de fichiers dans votre compte, vous pouvez limiter le trafic réseau. Pour limiter ce trafic, autorisez l’entrée uniquement à partir d’un groupe de sécurité spécifique. Dans l’exemple suivant, l’utilisateur peut uniquement utiliser le groupe de sécurité spécifié pour accéder au système de fichiers :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToLustreFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "FSxLustre",
"sagemaker:FileSystemDirectoryPath": "/fsx/sagemaker/xgboost/train"
},
"ForAllValues:StringEquals": {
"sagemaker:VpcSecurityGroupIds": [
"sg-12345678"
]
}
}
}
]
}
```
------
Cet exemple peut limiter un algorithme à un système de fichiers spécifique. Toutefois, cela n’empêche pas un algorithme d’accéder à n’importe quel répertoire de ce système de fichiers à l’aide du client de l’espace utilisateur. Pour pallier à cela, vous pouvez :
+ Vous assurer que le système de fichiers contient uniquement des données auxquelles vous autorisez vos utilisateurs à accéder
+ Créer un rôle IAM qui limite vos utilisateurs au lancement de tâches d’entraînement avec des algorithmes issus de référentiels ECR approuvés
Pour plus d'informations sur l'utilisation des rôles avec l' SageMaker IA, consultez la section [Rôles SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html).
### Limitation de l’entraînement à un VPC spécifique
Empêcher un AWS utilisateur de créer des tâches de formation depuis un Amazon VPC. Lorsqu’une tâche d’entraînement est créée au sein d’un VPC, utilisez les journaux de flux VPC pour surveiller l’ensemble du trafic vers et depuis le cluster d’entraînement. Pour obtenir des informations sur l’utilisation des journaux de flux VPC, consultez [Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.
La politique suivante impose la création d'une tâche d'entraînement par un utilisateur appelant [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) depuis un VPC :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFromVpc",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"sagemaker:VpcSubnets": ["subnet-a1234"],
"sagemaker:VpcSecurityGroupIds": ["sg12345", "sg-67890"]
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
}
]
}
```
------
### Restriction de l’accès aux types de main-d’œuvre pour les tâches d’étiquetage Ground Truth et les flux de vérification humaine Amazon A2I
Les équipes de travail Amazon SageMaker Ground Truth et Amazon Augmented AI appartiennent à l'un des trois [types de personnel](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management.html) suivants :
+ public (avec Amazon Mechanical Turk)
+ privé
+ fournisseur
Vous pouvez restreindre l’accès des utilisateurs à une équipe de travail spécifique à l’aide de l’un de ces types ou de l’ARN de l’équipe de travail. Pour ce faire, utilisez `sagemaker:WorkteamType` and/or les touches de `sagemaker:WorkteamArn` condition. Pour la clé de condition `sagemaker:WorkteamType`, utilisez les [opérateurs de condition de chaîne](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Pour la clé de condition `sagemaker:WorkteamArn`, utilisez les [opérateurs de condition Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN). Si l'utilisateur tente de créer une tâche d'étiquetage avec une équipe de travail restreinte, SageMaker AI renvoie un message d'erreur de refus d'accès.
Les politiques ci-dessous illustrent différentes façons d’utiliser `sagemaker:WorkteamType` et les clés de condition `sagemaker:WorkteamArn` avec des opérateurs de condition appropriés et des valeurs de condition valides.
L’exemple suivant utilise la clé de condition `sagemaker:WorkteamType` avec l’opérateur de condition `StringEquals` pour restreindre l’accès à une équipe de travail public. Il accepte les valeurs de condition au format suivant :`workforcetype-crowd`, où *workforcetype* peut être égal à `public``private`, ou`vendor`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:WorkteamType": "public-crowd"
}
}
}
]
}
```
------
Les politiques suivantes montrent comment restreindre l’accès à une équipe de travail public à l’aide de la clé de condition `sagemaker:WorkteamArn`. Le premier montre comment l’utiliser avec une expression régulière IAM valide de l’ARN de l’équipe de travail et l’opérateur de condition `ArnLike`. La seconde montre comment l’utiliser avec l’opérateur de condition `ArnEquals` et l’ARN de l’équipe de travail.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnLike": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
}
}
}
]
}
```
------
### Application du chiffrement des données d’entrée
La politique suivante interdit à un utilisateur de spécifier une AWS KMS clé pour chiffrer les données d'entrée à l'aide de la clé de `sagemaker:VolumeKmsKey` condition lors de la création :
+ entraînement
+ réglage des hyperparamètres
+ tâches d’étiquetage
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceEncryption",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateFlowDefinition"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:VolumeKmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
]
}
```
------
### Application de l’isolement du réseau pour les tâches d’entraînement
La politique suivante impose à un utilisateur d'activer l'isolement du réseau lors de la création de tâches d'entraînement à l'aide de la clé de condition `sagemaker:NetworkIsolation` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceIsolation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"Bool": {
"sagemaker:NetworkIsolation": "true"
}
}
}
]
}
```
------
### Application d’un type d’instance spécifique pour les tâches d’entraînement
La politique suivante impose à un utilisateur d’utiliser un type d’instance spécifique lors de la création de tâches d’entraînement à l’aide de la clé de condition `sagemaker:InstanceTypes` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceInstanceType",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"sagemaker:InstanceTypes": ["ml.c5.*"]
}
}
}
]
}
```
------
### Application de la désactivation de l’accès Internet et de l’accès racine pour la création d’instances de bloc-notes
Vous pouvez désactiver l’accès Internet et l’accès racine aux instances de bloc-notes pour mieux les sécuriser. Pour en savoir plus sur le contrôle de l’accès racine à une instance de bloc-notes, consultez [Contrôler l'accès root à une instance de SageMaker bloc-notes](nbi-root-access.md). Pour en savoir plus sur la désactivation de l’accès à Internet pour une instance de bloc-notes, consultez [Connecter une instance de bloc-notes dans un VPC à des ressources externes](appendix-notebook-and-internet-access.md).
La politique suivante exige qu’un utilisateur désactive l’accès réseau lors de la création de l’instance, et désactive l’accès racine lors de la création ou de la mise à jour d’une instance de bloc-notes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LockDownCreateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:CreateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:DirectInternetAccess": "Disabled",
"sagemaker:RootAccess": "Disabled"
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
},
{
"Sid": "LockDownUpdateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:UpdateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:RootAccess": "Disabled"
}
}
}
]
}
```
------
## Contrôlez l'accès à l'API SageMaker AI en utilisant des politiques basées sur l'identité
Pour contrôler l'accès aux appels d'API d' SageMaker IA et aux appels aux points de terminaison hébergés par l' SageMaker IA, utilisez des politiques IAM basées sur l'identité.
**Topics**
+ [Limitez l'accès à l' SageMaker API et à l'environnement d'exécution de l'IA aux appels provenant de votre VPC](#api-access-policy-vpc)
### Limitez l'accès à l' SageMaker API et à l'environnement d'exécution de l'IA aux appels provenant de votre VPC
Si vous configurez un point de terminaison d'interface dans votre VPC, les personnes extérieures au VPC peuvent se connecter à l'API SageMaker AI et exécuter sur Internet. Pour éviter cela, attachez une politique IAM qui restreint l’accès aux appels provenant du VPC. Ces appels doivent être limités à tous les utilisateurs et groupes ayant accès à vos ressources d' SageMaker IA. Pour plus d'informations sur la création d'un point de terminaison d'interface VPC pour l'API SageMaker AI et le runtime, consultez. [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md)
**Important**
Si vous appliquez une politique IAM similaire à l'une des suivantes, les utilisateurs ne peuvent pas accéder à l' SageMaker IA spécifiée APIs via la console.
Pour restreindre l’accès aux seules connexions effectuées depuis votre VPC, créez une politique Gestion des identités et des accès AWS qui restreint l’accès. Cet accès doit être limité aux seuls appels provenant de votre VPC. Ajoutez ensuite cette politique à chaque Gestion des identités et des accès AWS utilisateur, groupe ou rôle utilisé pour accéder à l'API ou au runtime SageMaker AI.
**Note**
Cette politique autorise les connexions uniquement pour les mandataires dans un sous-réseau où vous avez créé un point de terminaison d’interface.
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Pour limiter l’accès à l’API aux seuls appels effectués à l’aide du point de terminaison d’interface, utilisez la clé de condition `aws:SourceVpce` à la place de `aws:SourceVpc` :
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
## Limitez l'accès à l'API SageMaker AI et aux appels d'exécution par adresse IP
Vous pouvez autoriser l'accès aux appels d'API SageMaker AI et aux invocations d'exécution uniquement à partir des adresses IP figurant dans une liste que vous spécifiez. Pour ce faire, créez une politique IAM qui refuse l’accès à l’API à moins que l’appel provienne d’une adresse IP de la liste. Attachez ensuite cette politique à chaque Gestion des identités et des accès AWS utilisateur, groupe ou rôle utilisé pour accéder à l'API ou à l'environnement d'exécution. Pour obtenir des informations sur la création de politiques IAM, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *.
Pour spécifier la liste des adresses IP ayant accès à l’appel d’API, utilisez :
+ l’opérateur de condition `IpAddress`,
+ la clé de contexte de condition `aws:SourceIP`.
Pour obtenir des informations sur les opérateurs de condition IAM, consultez [Éléments de politique JSON IAM : Opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *. Pour obtenir des informations sur les clés de contexte de condition IAM, consultez [Clés de contexte de condition globale AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Par exemple, la politique suivante autorise l’accès à [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) uniquement depuis des adresses IP dans les plages `192.0.2.0`-`192.0.2.255` et `203.0.113.0`-`203.0.113.255` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreateTrainingJob",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
## Limitation de l’accès à une instance de bloc-notes par adresse IP
Vous pouvez autoriser l’accès à une instance de bloc-notes uniquement à partir des adresses IP figurant dans une liste que vous spécifiez. Pour ce faire, créez une politique IAM qui refuse l’accès à [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) à moins que l’appel provienne d’une adresse IP de la liste. Attachez ensuite cette politique à chaque Gestion des identités et des accès AWS utilisateur, groupe ou rôle utilisé pour accéder à l'instance du bloc-notes. Pour obtenir des informations sur la création de politiques IAM, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *.
Pour spécifier la liste des adresses IP que vous souhaitez voir accéder à l’instance de bloc-notes, utilisez :
+ l’opérateur de condition `IpAddress`,
+ la clé de contexte de condition `aws:SourceIP`.
Pour obtenir des informations sur les opérateurs de condition IAM, consultez [Éléments de politique JSON IAM : Opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *. Pour obtenir des informations sur les clés de contexte de condition IAM, consultez [Clés de contexte de condition globale AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Par exemple, la politique suivante autorise l'accès à une instance de bloc-notes uniquement depuis des adresses IP dans les plages `192.0.2.0`-`192.0.2.255` et `203.0.113.0`-`203.0.113.255` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
La politique restreint l’accès à l’appel vers `CreatePresignedNotebookInstanceUrl` et à l’URL renvoyée par l’appel. La stratégie restreint également l’accès pour ouvrir une instance bloc-notes dans la console. Il est appliqué à chaque requête et WebSocket trame HTTP qui tente de se connecter à l'instance du bloc-notes.
**Note**
L'utilisation de cette méthode pour filtrer par adresse IP est incompatible lors de la [connexion à l' SageMaker IA via un point de terminaison d'interface VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html). . Pour obtenir des informations sur la restriction d’accès à une instance de bloc-notes lors de la connexion via un point de terminaison d’interface VPC, consultez [Connexion à une instance de bloc-notes via un point de terminaison d’interface VPC.](notebook-interface-endpoint.md).
## Contrôlez l'accès aux ressources de SageMaker l'IA à l'aide de balises
Spécifiez des balises dans une politique IAM pour contrôler l'accès à des groupes de ressources d' SageMaker IA. Utilisez des balises pour mettre en œuvre le contrôle d’accès par attributs (ABAC). L'utilisation de balises vous permet de partitionner l'accès aux ressources entre des groupes d'utilisateurs spécifiques. Vous pouvez avoir une équipe ayant accès à un groupe de ressources et une autre équipe ayant accès à un autre ensemble de ressources. Vous pouvez fournir des conditions `ResourceTag` dans des politiques IAM pour fournir un accès à chaque groupe.
**Note**
Les politiques basées sur des balises ne peuvent pas restreindre les appels d’API suivants :
DeleteImageVersion
DescribeImageVersion
ListAlgorithms
ListCodeRepositories
ListCompilationJobs
ListEndpointConfigs
ListEndpoints
ListFlowDefinitions
ListHumanTaskUis
ListHyperparameterTuningJobs
ListLabelingJobs
ListLabelingJobsForWorkteam
ListModelPackages
ListModels
ListNotebookInstanceLifecycleConfigs
ListNotebookInstances
ListSubscribedWorkteams
ListTags
ListProcessingJobs
ListTrainingJobs
ListTrainingJobsForHyperParameterTuningJob
ListTransformJobs
ListWorkteams
Recherche
Un exemple simple peut vous aider à comprendre comment utiliser les balises pour partitionner les ressources. Supposons que vous ayez défini deux groupes IAM différents, nommés `DevTeam1` et`DevTeam2`, dans votre AWS compte. Vous avez également créé 10 instances de bloc-notes. Vous utilisez 5 instances de bloc-notes pour un projet. Vous utilisez les 5 autres pour un second projet. Vous pouvez fournir à `DevTeam1` des autorisations pour effectuer des appels d'API sur les instances de bloc-notes que vous utilisez pour le premier projet. Vous pouvez autoriser `DevTeam2` à effectuer des appels d'API sur les instances de bloc-notes utilisées pour le second projet.
La procédure suivante fournit un exemple simple qui vous aidera à comprendre le concept d'ajout de balises. Vous pouvez l'utiliser pour implémenter la solution décrite dans le paragraphe précédent.
**Pour contrôler l’accès aux appels d’API (exemple)**
1. Ajoutez une balise avec la clé `Project` et la valeur `A` aux instances de bloc-notes utilisées pour le premier projet. Pour plus d'informations sur l'ajout de balises aux ressources d' SageMaker IA, consultez [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html).
1. Ajoutez une balise avec la clé `Project` et la valeur `B` aux instances de bloc-notes utilisées pour le second projet.
1. Créez une politique IAM avec une condition `ResourceTag` qui refuse l’accès aux instances de bloc-notes utilisées pour le second projet. Attachez ensuite cette politique à `DevTeam1`. L’exemple de politique suivant refuse tous les appels d’API sur n’importe quelle instance de bloc-notes avec une balise dotée d’une clé `Project` et d’une valeur `B` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "B"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
Pour obtenir des informations sur la création de politiques IAM et leur attachement à des identités, consultez [Contrôle de l’accès à l’aide des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *.
1. Créez une politique IAM avec une condition `ResourceTag` qui refuse l’accès aux instances de bloc-notes utilisées pour le premier projet. Attachez ensuite cette politique à `DevTeam2`. L’exemple de politique suivant refuse tous les appels d’API sur n’importe quelle instance de bloc-notes avec une balise dotée d’une clé `Project` et d’une valeur `A` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "A"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
## Fournir des autorisations pour le balisage des ressources d' SageMaker IA
Les [balises](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) sont des étiquettes de métadonnées que vous pouvez associer à certaines AWS ressources. Une balise se compose d’une paire clé-valeur qui fournit un moyen flexible d’annoter les ressources à l’aide d’attributs de métadonnées pour divers [cas d’utilisation de balisage](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html), notamment :
+ search
+ sécurité
+ [attribution des coûts](https://docs.aws.amazon.com/whitepapers/latest/sagemaker-studio-admin-best-practices/cost-attribution.html)
+ contrôle d’accès
+ Automatisation
Ils peuvent être utilisés dans les autorisations et les politiques, les quotas de service et les intégrations avec d'autres AWS services. Les balises peuvent être définies par l'utilisateur ou AWS générées lors de la création de ressources. Cela dépend de si un utilisateur spécifie manuellement des balises personnalisées ou de si un service AWS génère automatiquement une balise.
+ *Balises définies par l'utilisateur* dans l' SageMaker IA : les utilisateurs peuvent ajouter des balises lorsqu'ils créent des ressources d' SageMaker IA à l'aide SageMaker SDKs de la AWS CLI CLI SageMaker APIs, de la console SageMaker AI ou de CloudFormation modèles.
**Note**
Les balises définies par l’utilisateur peuvent être remplacées si une ressource est mise à jour ultérieurement et que la valeur de la balise est modifiée ou remplacée. Par exemple, une tâche d’entraînement créée avec \$1Équipe : A\$1 peut être incorrectement mise à jour et nouvellement étiquetée en tant que \$1Équipe : B\$1. Cela peut entraîner une attribution incorrecte des autorisations autorisées. Par conséquent, il convient de faire preuve de prudence lorsque vous autorisez des utilisateurs ou des groupes à ajouter des balises, car ils peuvent être en mesure de remplacer les valeurs existantes des balises. La bonne pratique consiste à cibler étroitement les autorisations de balisage et à utiliser les conditions IAM pour contrôler les capacités de balisage.
+ *AWS balises générées* dans l' SageMaker IA : SageMaker L'IA balise automatiquement certaines ressources qu'elle crée. Par exemple, Studio et Studio Classic attribuent automatiquement la `sagemaker:domain-arn` balise aux ressources d' SageMaker IA qu'ils créent. Le balisage de nouvelles ressources avec l'ARN du domaine permet de suivre l'origine des ressources d' SageMaker IA telles que les tâches de formation, les modèles et les points de terminaison. Pour un contrôle et un suivi plus précis, les nouvelles ressources reçoivent des balises supplémentaires telles que :
+ `sagemaker:user-profile-arn` : l’ARN du profil utilisateur qui a créé la ressource. Cela permet de suivre les ressources créées par des utilisateurs spécifiques.
+ `sagemaker:space-arn` : l’ARN de l’espace dans lequel la ressource a été créée. Cela permet de regrouper et d’isoler les ressources par espace.
**Note**
AWS les balises générées ne peuvent pas être modifiées par les utilisateurs.
Pour obtenir des informations générales sur le balisage AWS des ressources et les meilleures pratiques, consultez la section [Marquage de vos AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) ressources. Pour en savoir plus sur les principaux cas d’utilisation du balisage, consultez [Cas d’utilisation du balisage](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html).
### Autoriser l'ajout de balises lors de la création de ressources d' SageMaker IA
Vous pouvez autoriser les utilisateurs (*balises définies par l'utilisateur*) ou Studio et Studio Classic (*balises AWS générées) à ajouter des balises* sur les nouvelles ressources d' SageMaker IA au moment de leur création. Pour ce faire, leurs autorisations IAM doivent inclure à la fois :
+ L' SageMaker IA de base crée une autorisation pour ce type de ressource.
+ l’autorisation `sagemaker:AddTags`.
Par exemple, pour permettre à un utilisateur de créer une tâche de SageMaker formation et de l'étiqueter, il faudrait lui accorder des autorisations pour `sagemaker:CreateTrainingJob` et`sagemaker:AddTags`.
**Important**
Les politiques IAM personnalisées qui permettent à Amazon SageMaker Studio ou Amazon SageMaker Studio Classic de créer des ressources Amazon SageMaker AI doivent également accorder des autorisations pour ajouter des balises à ces ressources. L’autorisation d’ajouter des balises aux ressources est requise, car Studio et Studio Classic balisent automatiquement toutes les ressources qu’ils créent. Si une politique IAM autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources.
[AWS politiques gérées pour Amazon SageMaker AI](security-iam-awsmanpol.md)qui donnent des autorisations pour créer des ressources d' SageMaker IA incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.
Les administrateurs attachent ces autorisations IAM à l’un ou l’autre des éléments suivants :
+ AWS Rôles IAM attribués à l'utilisateur pour les balises définies par l'utilisateur
+ Rôle d’exécution utilisé par Studio ou Studio Classic pour les balises générées par AWS
Pour obtenir des instructions de création et d’application de politiques IAM personnalisées, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
**Note**
La liste des opérations de création de ressources d' SageMaker IA se trouve dans la [documentation de l'SageMaker API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations_Amazon_SageMaker_Service.html) en recherchant les actions commençant par`Create`. Celles-ci créent des actions, telles que `CreateTrainingJob` et`CreateEndpoint`, sont les opérations qui créent de nouvelles ressources d' SageMaker IA.
**Ajout d’autorisations de balise à certaines actions de création**
Vous accordez l’autorisation `sagemaker:AddTags` avec des contraintes en attachant une politique IAM supplémentaire à la politique de création de ressources d’origine. L'exemple de politique suivant autorise`sagemaker:AddTags`, mais ne le limite qu'à certaines actions de création de ressources SageMaker AI, telles que`CreateTrainingJob`.
```
{
"Sid": "AllowAddTagsForCreateOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateTrainingJob"
}
}
}
```
La condition de politique restreint `sagemaker:AddTags` à être utilisée parallèlement à des actions de création spécifiques. Dans cette approche, la politique d’autorisation de création reste intacte tandis qu’une politique supplémentaire fournit l’accès `sagemaker:AddTags` restreint. Cette condition empêche l’autorisation générale `sagemaker:AddTags` en la limitant aux actions de création nécessitant un balisage. Cela implémente le moindre privilège `sagemaker:AddTags` en ne l'autorisant que pour des cas d'utilisation spécifiques de création de ressources d' SageMaker IA.
**Exemple : permettre l’autorisation des balises à l’échelle mondiale et restreindre les actions de création à un domaine**
Dans cet exemple de politique IAM personnalisée, les deux premières instructions illustrent l’utilisation de balises pour suivre la création de ressources. Cela autorise l’action `sagemaker:CreateModel` sur toutes les ressources et le balisage de ces ressources lorsque cette action est utilisée. La troisième instruction montre comment les valeurs des balises peuvent être utilisées pour contrôler les opérations sur les ressources. Dans ce cas, cela empêche de créer des ressources d' SageMaker IA étiquetées avec un ARN de domaine spécifique, en limitant l'accès en fonction de la valeur de la balise.
En particulier :
+ La première instruction autorise l’action `CreateModel` sur n’importe quelle ressource (`*`).
+ La deuxième instruction autorise l’action `sagemaker:AddTags`, mais uniquement lorsque la clé de condition `sagemaker:TaggingAction` est égale à `CreateModel`. Cela limite l’action `sagemaker:AddTags` uniquement aux périodes où elle est utilisée pour étiqueter un modèle nouvellement créé.
+ La troisième déclaration refuse toute action SageMaker AI create (`Create*`) sur une ressource (`*`), mais uniquement lorsque la ressource possède une balise `sagemaker:domain-arn` égale à un ARN de domaine spécifique,`domain-arn`.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"sagemaker:CreateModel"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":"*",
"Condition":{
"String":{
"sagemaker:TaggingAction":[
"CreateModel"
]
}
}
},
{
"Sid":"IsolateDomain",
"Effect":"Deny",
"Resource":"*",
"Action":[
"sagemaker:Create*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:domain-arn":"domain-arn"
}
}
}
]
}
```
## Limitation de l’accès aux ressources consultables avec des conditions de visibilité
Utilisez les conditions de visibilité pour limiter l'accès de vos utilisateurs à des ressources balisées spécifiques au sein d'un AWS compte. Vos utilisateurs ne peuvent accéder qu’aux ressources pour lesquelles ils disposent d’autorisations. Lorsque vos utilisateurs effectuent des recherches dans leurs ressources, ils peuvent limiter les résultats de recherche à des ressources spécifiques.
Vous souhaiterez peut-être que vos utilisateurs ne voient et n'interagissent qu'avec les ressources associées à des domaines Amazon SageMaker Studio ou Amazon SageMaker Studio Classic spécifiques. Vous pouvez utiliser les conditions de visibilité pour limiter leur accès à un ou à plusieurs domaines.
```
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Région AWS:111122223333:domain/example-domain-1",
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Région AWS:111122223333:domain/example-domain-2"
}
}
}
```
Le format général d’une condition de visibilité est `"sagemaker:SearchVisibilityCondition/Tags.key": "value"`. Vous pouvez fournir la paire clé-valeur pour n’importe quelle ressource étiquetée.
```
{
"MaxResults": number,
"NextToken": "string",
"Resource": "string", # Required Parameter
"SearchExpression": {
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedFilters": [
{
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedPropertyName": "string"
}
],
"Operator": "string",
"SubExpressions": [
"SearchExpression"
]
},
"IsCrossAccount": "string",
"VisibilityConditions" : [ List of conditions for visibility
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Région AWS:111122223333:domain/example-domain-1"},
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Région AWS:111122223333:domain/example-domain-2"}
]
],
"SortBy": "string",
"SortOrder": "string"
}
```
La condition de visibilité utilise le même formatage `"sagemaker:SearchVisibilityCondition/Tags.key": "value"` que celui spécifié dans la politique. Vos utilisateurs peuvent spécifier les paires clé-valeur utilisées pour n’importe quelle ressource étiquetée.
Si un utilisateur inclut le paramètre `VisibilityConditions` dans sa demande [Search](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html), mais que la stratégie d’accès qui s’applique à cet utilisateur ne contient aucune clé de condition correspondante ayant été spécifiée dans `VisibilityConditions`, la demande `Search` est toujours autorisée et sera exécutée.
Si aucun paramètre `VisibilityConditions` n’est spécifié dans la demande d’API [Search](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) de l’utilisateur, mais que la stratégie d’accès qui s’applique à cet utilisateur contient des clés de condition associées à `VisibilityConditions`, la demande `Search` de cet utilisateur est refusée.
# Prévention du problème de l’adjoint confus entre services
Le [problème de l’adjoint confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) est un problème de sécurité dans lequel une entité qui n’a pas l’autorisation d’effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action. Dans AWS, le problème de confusion des adjoints peut survenir en raison d'une usurpation d'identité interservices. L’emprunt d’identité entre services peut se produire lorsqu’un service (le *service appelant*) invoque un autre service (le *service appelé*) et tire profit des autorisations élevées du service appelé pour agir sur des ressources auxquelles le service appelant n’est pas autorisé à accéder. Pour empêcher tout accès non autorisé en raison de la confusion des adjoints, AWS fournit des outils permettant de sécuriser vos données sur l'ensemble des services. Ces outils vous aident à contrôler les autorisations accordées aux principaux de service, en limitant leur accès aux seules ressources requises dans votre compte. En gérant soigneusement les privilèges d’accès des principaux de service, vous pouvez contribuer à atténuer le risque que les services accèdent de manière inappropriée à des données ou à des ressources pour lesquelles ils ne devraient pas avoir d’autorisations.
Poursuivez votre lecture pour obtenir des conseils généraux ou accédez à un exemple de fonctionnalité d' SageMaker IA spécifique :
**Topics**
+ [Limiter les autorisations avec des clés de condition globale](#security-confused-deputy-context-keys)
+ [SageMaker Gestionnaire Edge](#security-confused-deputy-edge-manager)
+ [SageMaker Des images](#security-confused-deputy-images)
+ [SageMaker Inférence basée sur l'IA](#security-confused-deputy-inference)
+ [SageMaker Tâches de transformation par lots AI](#security-confused-deputy-batch)
+ [SageMaker Marketplace de l'IA](#security-confused-deputy-marketplace)
+ [SageMaker Néo](#security-confused-deputy-neo)
+ [SageMaker Canalisations](#security-confused-deputy-pipelines)
+ [SageMaker Tâches de traitement](#security-confused-deputy-processing-job)
+ [SageMaker Studio](#security-confused-deputy-studio)
+ [SageMaker Emplois de formation](#security-confused-deputy-training-job)
## Limiter les autorisations avec des clés de condition globale
Nous recommandons d'utiliser les clés de condition `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` globales `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` et les clés de condition dans les politiques de ressources afin de limiter les autorisations à la ressource qu'Amazon SageMaker AI fournit à un autre service. Si vous utilisez les deux clés de condition globale et que la valeur de `aws:SourceArn` contient l’ID de compte, la valeur de `aws:SourceAccount` et le compte indiqué dans la valeur de `aws:SourceArn` doivent utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de politique. Utilisez `aws:SourceArn` si vous souhaitez qu’une seule ressource soit associée à l’accès entre services. Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de condition globale `aws:SourceArn` avec l'ARN complet de la ressource. Si vous ne connaissez pas l'ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l'ARN. Par exemple, `arn:aws:sagemaker:*:123456789012:*`.
L'exemple suivant montre comment utiliser les clés de condition `aws:SourceAccount` globale `aws:SourceArn` et les clés de condition dans SageMaker AI pour éviter le problème de confusion des adjoints.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sagemaker:StartSession",
"Resource": "arn:aws:sagemaker:us-east-1:123456789012:ResourceName/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
## SageMaker Gestionnaire Edge
L'exemple suivant montre comment utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés à SageMaker Edge Manager créé par un numéro de compte *123456789012* dans la *us-west-2* région.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Vous pouvez remplacer `aws:SourceArn` dans ce modèle par l’ARN complet d’une tâche de compression spécifique pour limiter davantage les autorisations.
## SageMaker Des images
L'exemple suivant montre comment utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés à [SageMaker Images](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html). Utilisez ce modèle avec `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` ou `[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. Cet exemple utilise un `ImageVersion` enregistrement ARN avec le numéro de compte*123456789012*. Notez que puisque le numéro de compte fait partie de la valeur `aws:SourceArn`, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-2:123456789012:image-version/*"
}
}
}
}
```
------
Ne remplacez pas `aws:SourceArn` dans ce modèle par l'ARN complet d'une image spécifique ou d'une version d'image. L'ARN doit être dans le format fourni ci-dessus et spécifier soit `image` ou `image-version`. L'`partition`espace réservé doit désigner une partition AWS commerciale (`aws`) ou une AWS partition chinoise (`aws-cn`), selon l'endroit où l'image ou la version de l'image est exécutée. De même, l'`region`espace réservé dans l'ARN peut être n'importe quelle [région valide dans](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) laquelle SageMaker des images sont disponibles.
## SageMaker Inférence basée sur l'IA
L'exemple suivant montre comment vous pouvez utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème des adjoints confus entre services pour l'inférence [en temps réel](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints), [sans serveur](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints) et [asynchrone](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) basée sur l' SageMaker IA. Notez que puisque le numéro de compte fait partie de la valeur `aws:SourceArn`, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Ne remplacez pas `aws:SourceArn` dans ce modèle par le NRA complet d'un modèle ou d'un point de terminaison spécifique. L'ARN doit être dans le format fourni ci-dessus. L'astérisque dans le modèle ARN n'est pas un caractère générique et ne doit pas être modifié.
## SageMaker Tâches de transformation par lots AI
L'exemple suivant montre comment vous pouvez utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés aux [tâches de transformation par lots basées](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) sur l' SageMaker IA créées par numéro de compte *123456789012* dans la *us-west-2* région. Notez que puisque le numéro de compte figure dans l’ARN, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*"
}
}
}
]
}
```
------
Vous pouvez remplacer `aws:SourceArn` dans ce modèle par l’ARN complet d’une tâche de transformation par lots spécifique pour limiter davantage les autorisations.
## SageMaker Marketplace de l'IA
L'exemple suivant montre comment utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés aux ressources SageMaker AI Marketplace créées par un numéro de compte *123456789012* dans la *us-west-2* région. Notez que puisque le numéro de compte figure dans l’ARN, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Ne remplacez pas `aws:SourceArn` dans ce modèle par l'ARN complet d'un package d'algorithme ou de modèle spécifique. L’ARN doit être dans le format fourni ci-dessus. L'astérisque dans le modèle ARN signifie joker et couvre toutes les tâches de formation, les modèles et les tâches de transformation par lots issus des étapes de validation, ainsi que les packages d'algorithmes et de modèles publiés sur AI SageMaker Marketplace.
## SageMaker Néo
L'exemple suivant montre comment utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés aux tâches de compilation SageMaker Neo créées par numéro de compte *123456789012* dans la *us-west-2* région. Notez que puisque le numéro de compte figure dans l’ARN, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*"
}
}
}
]
}
```
------
Vous pouvez remplacer `aws:SourceArn` dans ce modèle par l’ARN complet d’une tâche de compilation spécifique pour limiter davantage les autorisations.
## SageMaker Canalisations
L'exemple suivant montre comment utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés aux [SageMaker pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) utilisant les enregistrements d'exécution d'un pipeline provenant d'un ou de plusieurs pipelines. Notez que puisque le numéro de compte figure dans l’ARN, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:pipeline/mypipeline/*"
}
}
}
]
}
```
------
Ne remplacez pas `aws:SourceArn` dans ce modèle par l'ARN complet d'une exécution de pipeline spécifique. L’ARN doit être dans le format fourni ci-dessus. L'`partition`espace réservé doit désigner soit une partition AWS commerciale (`aws`), soit une partition AWS en Chine (`aws-cn`), selon l'endroit où le pipeline fonctionne. De même, l'`region`espace réservé dans l'ARN peut être n'importe quelle [région valide](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) dans laquelle SageMaker Pipelines est disponible.
L'astérisque du modèle d'ARN correspond à un caractère générique et couvre toutes les exécutions d'un pipeline nommé `mypipeline`. Pour activer les autorisations `AssumeRole` pour tous les pipelines du compte `123456789012` plutôt qu’un pipeline spécifique, `aws:SourceArn` prend alors la valeur `arn:aws:sagemaker:*:123456789012:pipeline/*`.
## SageMaker Tâches de traitement
L'exemple suivant montre comment vous pouvez utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés au SageMaker traitement des tâches créées par numéro de compte *123456789012* dans la *us-west-2* région. Notez que puisque le numéro de compte figure dans l’ARN, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*"
}
}
}
]
}
```
------
Vous pouvez remplacer `aws:SourceArn` dans ce modèle par l’ARN complet d’une tâche de traitement spécifique pour limiter davantage les autorisations.
## SageMaker Studio
L'exemple suivant montre comment utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés à SageMaker Studio créé par un numéro de compte *123456789012* dans la *us-west-2* région. Notez que puisque le numéro de compte fait partie de la valeur `aws:SourceArn`, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Ne remplacez pas `aws:SourceArn` dans ce modèle par l'ARN complet d'une application Studio, d'un profil utilisateur ou d'un domaine spécifique. L'ARN doit être dans le format fourni dans l'exemple précédent. L’astérisque dans le modèle ARN n’est pas un caractère générique et ne doit pas être modifié.
## SageMaker Emplois de formation
L'exemple suivant montre comment vous pouvez utiliser la clé de condition `aws:SourceArn` globale pour éviter le problème de confusion entre les services associés aux postes de SageMaker formation créés par numéro de compte *123456789012* dans la *us-west-2* région. Notez que puisque le numéro de compte figure dans l’ARN, vous n’avez pas besoin de spécifier une valeur `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*"
}
}
}
]
}
```
------
Vous pouvez remplacer `aws:SourceArn` dans ce modèle par l'ARN complet d'une tâche d'entraînement spécifique pour limiter davantage les autorisations.
**Suivant**
Pour plus d'informations sur la gestion des rôles d'exécution, consultez la section [Rôles d'SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).
# Comment utiliser les rôles d'exécution de l' SageMaker IA
Amazon SageMaker AI effectue des opérations en votre nom à l'aide d'autres AWS services. Vous devez autoriser l' SageMaker IA à utiliser ces services et les ressources sur lesquelles ils agissent. Vous accordez ces autorisations à SageMaker AI en utilisant un rôle d'exécution Gestion des identités et des accès AWS (IAM). Pour plus d’informations sur les rôles IAM, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Pour créer et utiliser un rôle d'exécution, vous pouvez utiliser les procédures suivantes.
## Créer un rôle d’exécution
Utilisez la procédure suivante pour créer un rôle d’exécution avec la politique gérée IAM, `AmazonSageMakerFullAccess`, attachée. Si votre cas d’utilisation nécessite des autorisations plus détaillées, utilisez d’autres sections de cette page pour créer un rôle d’exécution qui répond aux besoins de votre entreprise. Vous pouvez créer un rôle d'exécution à l'aide de la console SageMaker AI ou du AWS CLI.
**Important**
La politique gérée IAM, `AmazonSageMakerFullAccess`, utilisée dans la procédure suivante, n’accorde que l’autorisation du rôle d’exécution pour effectuer certaines actions Amazon S3 sur des compartiments ou des objets avec `SageMaker`, `Sagemaker`, `sagemaker`, ou `aws-glue` dans le nom. Pour savoir comment ajouter une politique supplémentaire à un rôle d’exécution pour lui accorder l’accès à d’autres compartiments et objets Amazon S3, consultez [Ajouter des autorisations Amazon S3 supplémentaires à un rôle d'exécution SageMaker AI](#sagemaker-roles-get-execution-role-s3).
**Note**
Vous pouvez créer un rôle d'exécution directement lorsque vous créez un domaine SageMaker AI ou une instance de bloc-notes.
Pour plus d'informations sur la création d'un domaine SageMaker AI, consultez[Guide de configuration d'Amazon SageMaker AI](gs.md).
Pour en savoir plus sur la manière de créer une instance de bloc-notes, consultez [Création d'une instance Amazon SageMaker Notebook pour le didacticiel](gs-setup-working-env.md).
**Pour créer un nouveau rôle d'exécution à partir de la console SageMaker AI**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Choisissez **Roles (Rôles)**, puis **Create role (Créer un rôle)**.
1. Conservez le **AWS service** comme **type d'entité de confiance**, puis utilisez la flèche vers le bas pour trouver l'**SageMaker IA** dans **Cas d'utilisation pour d'autres AWS services**.
1. Choisissez **SageMaker AI — Execution**, puis **Next**.
1. La politique gérée IAM, `AmazonSageMakerFullAccess`, est automatiquement attachée au rôle. Pour afficher les autorisations incluses dans cette politique, choisissez le signe plus (**\$1**) à côté du nom de la politique. Choisissez **Suivant**.
1. Entrez un **nom de rôle** et une **description**.
1. (Facultatif) Ajoutez des autorisations et des balises supplémentaires au rôle.
1. Choisissez **Créer un rôle**.
1. Dans la section **Rôles** de la console IAM, recherchez le rôle que vous venez de créer. Si nécessaire, utilisez la zone de texte pour rechercher le rôle à l'aide du nom de rôle.
1. Sur la page de résumé, prenez note de l’ARN.
**Pour créer un nouveau rôle d'exécution depuis AWS CLI**
Avant de créer un rôle d'exécution à l'aide du AWS CLI, assurez-vous de le mettre à jour et de le configurer en suivant les instructions figurant dans[(Facultatif) Configurez le AWS CLI](gs-set-up.md#gs-cli-prereq), puis poursuivez avec les instructions contenues dans[Configuration personnalisée à l'aide du AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Une fois que vous avez créé un rôle d'exécution, vous pouvez l'associer à un domaine SageMaker AI, à un profil utilisateur ou à une instance de bloc-notes Jupyter.
+ Pour savoir comment associer un rôle d'exécution à un domaine SageMaker AI existant, consultez[Modification des paramètres du domaine](domain-edit.md).
+ Pour découvrir comment associer un rôle d’exécution à un profil utilisateur existant, consultez [Ajouter des profils utilisateur](domain-user-profile-add.md).
+ Pour découvrir comment associer un rôle d'exécution à une instance de bloc-notes existante, consultez [Meise à jour d’une instance de bloc-notes](nbi-update.md).
Vous pouvez également transmettre l'ARN d'un rôle d'exécution à votre appel d'API. Par exemple, à l'aide du [SDK Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable), vous pouvez transmettre l'ARN de votre rôle d'exécution à un estimateur. Dans l'exemple de code qui suit, nous créons un estimateur à l'aide du conteneur d' XGBoostalgorithmes et transmettons l'ARN du rôle d'exécution en tant que paramètre. Pour un exemple complet GitHub, voir [Customer Churn Prediction with XGBoost](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb).
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Ajouter des autorisations Amazon S3 supplémentaires à un rôle d'exécution SageMaker AI
Lorsque vous utilisez une fonctionnalité d' SageMaker IA avec des ressources dans Amazon S3, telles que des données d'entrée, le rôle d'exécution que vous spécifiez dans votre demande (par exemple`CreateTrainingJob`) est utilisé pour accéder à ces ressources.
Si vous attachez la politique gérée IAM, `AmazonSageMakerFullAccess`, à un rôle d’exécution, ce rôle a l’autorisation d’effectuer certaines actions Amazon S3 sur des compartiments ou des objets avec `SageMaker`, `Sagemaker`, `sagemaker`, ou `aws-glue` dans le nom. Elle a également l'autorisation d'effectuer les opérations suivantes sur n'importe quelle ressource Amazon S3 :
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Pour accorder à un rôle d’exécution des autorisations pour accéder à un ou plusieurs compartiments spécifiques dans Amazon S3, vous pouvez attacher une politique similaire à la suivante au rôle. Cette politique accorde une autorisation de rôle IAM pour effectuer toutes les actions qu’`AmazonSageMakerFullAccess` autorise, mais restreint cet accès aux compartiments amzn-s3-demo-bucket1 et amzn-s3-demo-bucket2. Reportez-vous à la documentation de sécurité de la fonctionnalité d' SageMaker IA spécifique que vous utilisez pour en savoir plus sur les autorisations Amazon S3 requises pour cette fonctionnalité.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
------
## Obtention de votre rôle d’exécution
Vous pouvez utiliser la [console SageMaker AI](https://console.aws.amazon.com/sagemaker), le [SDK Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable) ou le [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)pour récupérer l'ARN et le nom du rôle d'exécution associé à un domaine, un espace ou un profil utilisateur SageMaker AI.
**Topics**
+ [Obtention du rôle d’exécution d’un domaine](#sagemaker-roles-get-execution-role-domain)
+ [Obtention du rôle d’exécution d’un espace](#sagemaker-roles-get-execution-role-space)
+ [Obtention du rôle d’exécution d’un utilisateur](#sagemaker-roles-get-execution-role-user)
### Obtention du rôle d’exécution d’un domaine
Vous trouverez ci-dessous des instructions pour rechercher le rôle d’exécution de votre domaine.
#### Obtention du rôle d’exécution d’un domaine (console)
**Recherche du rôle d’exécution attaché à votre domaine**
1. Ouvrez la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Dans le volet de navigation de gauche, choisissez **Domaines** sous **Configurations d’administrateur**.
1. Choisissez le lien correspondant à votre domaine.
1. Choisissez l’onglet **Paramètres de domaine**.
1. Dans la section **Paramètres généraux**, l’ARN du rôle d’exécution est répertorié sous **Rôle d’exécution**.
Le nom du rôle d’exécution se trouve après la dernière `/` dans l’ARN du rôle d’exécution.
### Obtention du rôle d’exécution d’un espace
Vous trouverez ci-dessous des instructions pour rechercher le rôle d’exécution de votre espace.
#### Obtention du rôle d’exécution d’un espace (console)
**Recherche du rôle d’exécution attaché à votre espace**
1. Ouvrez la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Dans le volet de navigation de gauche, choisissez **Domaines** sous **Configurations d’administrateur**.
1. Choisissez le lien correspondant à votre domaine.
1. Choisissez l’onglet **Gestion de l’espace**.
1. Dans la section **Détails**, l’ARN du rôle d’exécution est répertorié sous **Rôle d’exécution**.
Le nom du rôle d’exécution se trouve après la dernière `/` dans l’ARN du rôle d’exécution.
#### Obtention du rôle d’exécution d’un espace (kit SDK pour Python)
**Note**
Le code suivant est destiné à être exécuté dans un environnement d' SageMaker intelligence artificielle, comme tout autre code IDEs d'Amazon SageMaker Studio. Vous recevrez un message d'erreur si vous vous lancez `get_execution_role` en dehors d'un environnement d' SageMaker IA.
La commande [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)[Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) suivante récupère l'ARN du rôle d'exécution attaché à l'espace.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
Le nom du rôle d’exécution se trouve après la dernière `/` dans l’ARN du rôle d’exécution.
### Obtention du rôle d’exécution d’un utilisateur
Vous trouverez ci-dessous des instructions pour rechercher le rôle d’exécution d’un utilisateur.
#### Obtention du rôle d’exécution d’un utilisateur (console)
**Recherche du rôle d’exécution attaché à un utilisateur**
1. Ouvrez la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Dans le volet de navigation de gauche, choisissez **Domaines** sous **Configurations d’administrateur**.
1. Choisissez le lien correspondant à votre domaine.
1. Choisissez l’onglet **Profils utilisateurs**.
1. Choisissez le lien correspondant à votre utilisateur.
1. Dans la section **Détails**, l’ARN du rôle d’exécution est répertorié sous **Rôle d’exécution**.
Le nom du rôle d’exécution se trouve après la dernière `/` dans l’ARN du rôle d’exécution.
#### Obtention du rôle d’exécution d’un espace (AWS CLI)
**Note**
Pour utiliser les exemples suivants, le AWS Command Line Interface (AWS CLI) doit être installé et configuré. Pour en savoir plus, consultez [Premiers pas avec l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) dans le *Guide de l’utilisateur de l’AWS Command Line Interface pour la version 2*.
La commande [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI suivante affiche des informations sur l’identité IAM utilisée pour authentifier la demande. L’appelant est un utilisateur IAM.
```
aws sts get-caller-identity
```
Le nom du rôle d’exécution se trouve après la dernière `/` dans l’ARN du rôle d’exécution.
## Changement de rôle d’exécution
Un rôle d'exécution est un rôle IAM assumé par une identité SageMaker IA (comme un utilisateur, un espace ou un domaine SageMaker IA). Le changement de rôle IAM modifie les autorisations pour toutes les identités assumant ce rôle.
Lorsque vous changez un rôle d’exécution, le rôle d’exécution de l’espace correspondant change également. La propagation des effets du changement peut prendre un certain temps.
+ Lorsque vous changez le *rôle d’exécution d’un utilisateur*, les *espaces privés* créés par cet utilisateur assument le nouveau rôle d’exécution spécifié.
+ Lorsque vous changez le *rôle d’exécution par défaut d’un espace*, les *espaces partagés* du domaine assument le nouveau rôle d’exécution spécifié.
Pour plus d’informations sur les espaces et les rôles d’exécution, consultez [Comprendre les autorisations d’espace de domaine et les rôles d’exécution](execution-roles-and-spaces.md).
Vous pouvez remplacer le rôle d’exécution d’une identité par un autre rôle IAM en suivant l’une des instructions suivantes.
Si, à la place, vous souhaitez *modifier* un rôle assumé par une identité, consultez [Modification des autorisations d’accès au rôle d’exécution](#sagemaker-roles-modify-to-execution-role).
**Topics**
+ [Changement du rôle d’exécution par défaut d’un domaine](#sagemaker-roles-change-execution-role-domain)
+ [Changement du rôle d’exécution par défaut d’un espace](#sagemaker-roles-change-execution-role-space)
+ [Changement du rôle d’exécution d’un profil utilisateur](#sagemaker-roles-change-execution-role-user)
### Changement du rôle d’exécution par défaut d’un domaine
Vous trouverez ci-dessous des instructions pour changer le rôle d’exécution par défaut de votre domaine.
#### Changement du rôle d’exécution par défaut d’un domaine (console)
**Changement du rôle d’exécution par défaut attaché à votre domaine**
1. Ouvrez la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Dans le volet de navigation de gauche, choisissez **Domaines** sous **Configurations d’administrateur**.
1. Choisissez le lien correspondant à votre domaine.
1. Choisissez l’onglet **Paramètres de domaine**.
1. Dans la section **Paramètres généraux**, choisissez **Modifier**.
1. Dans la section **Autorisations**, sous **Rôle d’exécution par défaut**, développez la liste déroulante.
1. Dans la liste déroulante, vous pouvez choisir un rôle existant, saisir l’ARN d’un rôle IAM personnalisé ou créer un nouveau rôle.
Si vous souhaitez créer un nouveau rôle, vous pouvez choisir l’option **Créer un rôle à l’aide de l’assistant de création de rôle**.
1. Choisissez Suivant dans les étapes suivantes et choisissez Soumettre à la dernière étape.
### Changement du rôle d’exécution par défaut d’un espace
Vous trouverez ci-dessous des instructions pour changer le rôle d’exécution par défaut de votre espace. Le changement de ce rôle d’exécution changera le rôle assumé par tous les espaces partagés dans le domaine.
#### Changement du rôle d’exécution par défaut d’un espace (console)
**Changement du rôle d’exécution par défaut d’un espace lorsque vous créez un nouvel espace**
1. Ouvrez la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Dans le volet de navigation de gauche, choisissez **Domaines** sous **Configurations d’administrateur**.
1. Choisissez le lien correspondant à votre domaine.
1. Choisissez l’onglet **Paramètres de domaine**.
1. Dans la section **Paramètres généraux**, choisissez **Modifier**.
1. Dans la section **Autorisations**, sous **Rôle d’exécution par défaut pour l’espace**, développez la liste déroulante.
1. Dans la liste déroulante, vous pouvez choisir un rôle existant, saisir l’ARN d’un rôle IAM personnalisé ou créer un nouveau rôle.
Si vous souhaitez créer un nouveau rôle, vous pouvez choisir l’option **Créer un rôle à l’aide de l’assistant de création de rôle**.
1. Choisissez **Suivant** dans les étapes suivantes et choisissez **Soumettre** à la dernière étape.
### Changement du rôle d’exécution d’un profil utilisateur
Vous trouverez ci-dessous des instructions pour changer le rôle d’exécution d’un utilisateur. Le changement de ce rôle d’exécution changera le rôle assumé par tous les espaces privés créés par cet utilisateur.
#### Changement du rôle d’exécution d’un profil utilisateur (console)
**Changement du rôle d’exécution attaché à un utilisateur**
1. Ouvrez la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Dans le volet de navigation de gauche, choisissez **Domaines** sous **Configurations d’administrateur**.
1. Choisissez le lien correspondant à votre domaine.
1. Choisissez l’onglet **Profils utilisateurs**.
1. Choisissez le lien correspondant au nom du profil utilisateur.
1. Choisissez **Modifier**.
1. Dans la liste déroulante, vous pouvez choisir un rôle existant, saisir l’ARN d’un rôle IAM personnalisé ou créer un nouveau rôle.
Si vous souhaitez créer un nouveau rôle, vous pouvez choisir l’option **Créer un rôle à l’aide de l’assistant de création de rôle**.
1. Choisissez **Suivant** dans les étapes suivantes et choisissez **Soumettre** à la dernière étape.
## Modification des autorisations d’accès au rôle d’exécution
Vous pouvez modifier les autorisations existantes relatives au rôle d'exécution d'une identité (comme un utilisateur, un espace ou un domaine SageMaker AI). Cela se fait en recherchant le rôle IAM approprié que l’identité assume, puis en modifiant ce rôle IAM. Vous trouverez ci-dessous des instructions pour y parvenir via la console.
Lorsque vous modifiez un rôle d’exécution, le rôle d’exécution de l’espace correspondant change également. Les effets du changement peuvent ne pas être immédiats.
+ Lorsque vous modifiez le *rôle d’exécution d’un utilisateur*, les *espaces privés* créés par cet utilisateur assument le rôle d’exécution modifié.
+ Lorsque vous modifiez le *rôle d’exécution par défaut d’un espace*, les *espaces partagés* dans le domaine assument le rôle d’exécution modifié.
Pour plus d’informations sur les espaces et les rôles d’exécution, consultez [Comprendre les autorisations d’espace de domaine et les rôles d’exécution](execution-roles-and-spaces.md).
Si, à la place, vous souhaitez *changer* un rôle assumé par une identité, consultez [Changement de rôle d’exécution](#sagemaker-roles-change-execution-role).
### Modification des autorisations d’accès au rôle d’exécution (console)
**Pour modifier les autorisations d’accès à vos rôles d’exécution**
1. Obtenez d’abord le nom de l’identité que vous souhaitez modifier.
+ [Obtention du rôle d’exécution d’un domaine](#sagemaker-roles-get-execution-role-domain)
+ [Obtention du rôle d’exécution d’un espace](#sagemaker-roles-get-execution-role-space)
+ [Obtention du rôle d’exécution d’un utilisateur](#sagemaker-roles-get-execution-role-user)
1. Pour modifier un rôle assumé par une identité, consultez [Modification d’un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *.
Pour plus d’informations et des instructions sur l’ajout d’autorisations à des identités IAM, consultez [Ajout et suppression d’autorisations d’identité](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *.
## Transmission de rôles
Des actions telles que le transfert d'un rôle entre les services sont une fonction courante au sein de l' SageMaker IA. Vous trouverez plus de détails sur les [actions, les ressources et les clés de condition pour l' SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) dans la *référence d'autorisation de service*.
Vous transmettez le rôle (`iam:PassRole`) lorsque vous effectuez les appels d’API : [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) et [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Vous attachez la politique de confiance suivante au rôle IAM, qui accorde à l' SageMaker IA les autorisations principales pour assumer le rôle, et qui est la même pour tous les rôles d'exécution :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Les autorisations que vous devez accorder au rôle varient en fonction de l’API que vous appelez. Les sections suivantes présentent ces autorisations.
**Note**
Au lieu de gérer les autorisations en élaborant une politique d'autorisation, vous pouvez utiliser la politique d'`AmazonSageMakerFullAccess`autorisation AWS-managed. Les autorisations de cette politique sont assez larges, afin de permettre toutes les actions que vous souhaiteriez effectuer dans l' SageMaker IA. Pour obtenir la liste des autorisations de la politique, y compris des informations sur les raisons de l’ajout d’un grand nombre de ces autorisations, consultez [AWS politique gérée : AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Si vous préférez créer des politiques personnalisées et gérer les autorisations de sorte à les limiter aux actions que vous devez effectuer avec le rôle d'exécution uniquement, consultez les rubriques suivantes.
**Important**
Si vous rencontrez des problèmes, consultez [Résolution des problèmes liés à Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md).
Pour plus d’informations sur les rôles IAM, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dans la *Référence d’autorisation de service*.
**Topics**
+ [Créer un rôle d’exécution](#sagemaker-roles-create-execution-role)
+ [Obtention de votre rôle d’exécution](#sagemaker-roles-get-execution-role)
+ [Changement de rôle d’exécution](#sagemaker-roles-change-execution-role)
+ [Modification des autorisations d’accès au rôle d’exécution](#sagemaker-roles-modify-to-execution-role)
+ [Transmission de rôles](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob et API CreateAuto MLJob V2 : autorisations des rôles d'exécution](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API : autorisations relatives aux rôles d'exécution](#sagemaker-roles-createdomain-perms)
+ [CreateImage et UpdateImage APIs : Autorisations relatives aux rôles d'exécution](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API : autorisations relatives aux rôles d'exécution](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API : autorisations relatives aux rôles d'exécution](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API : autorisations relatives aux rôles d'exécution](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API : autorisations relatives aux rôles d'exécution](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API : autorisations relatives aux rôles d'exécution](#sagemaker-roles-createmodel-perms)
+ [SageMaker rôles relatifs aux capacités géospatiales](sagemaker-geospatial-roles.md)
## CreateAutoMLJob et API CreateAuto MLJob V2 : autorisations des rôles d'exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `CreateAutoMLJob` ou `CreateAutoMLJobV2`, vous pouvez attacher la politique d’autorisation minimum suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Si vous spécifiez un VPC privé pour votre tâche AutoML, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si votre entrée est chiffrée à l'aide d'un chiffrement côté serveur à l'aide d'une clé AWS gérée par KMS (SSE-KMS), ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si vous spécifiez une clé KMS dans la configuration de sortie de la tâche AutoML, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si vous spécifiez une clé KMS de volume dans la configuration des ressources de la tâche AutoML, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API : autorisations relatives aux rôles d'exécution
Le rôle d'exécution pour les domaines avec IAM Identity Center et le user/execution rôle pour les domaines IAM nécessitent les autorisations suivantes lorsque vous transmettez une clé gérée par le AWS KMS client comme `KmsKeyId` dans la demande d'`CreateDomain`API. Les autorisations sont appliquées au cours de l’appel d’API `CreateApp`.
Pour un rôle d'exécution que vous pouvez transmettre dans la demande d'API `CreateDomain`, vous pouvez attacher la politique d'autorisation suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
De même, si les autorisations sont spécifiées dans une politique KMS, vous pouvez attacher la politique suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage et UpdateImage APIs : Autorisations relatives aux rôles d'exécution
Pour un rôle d'exécution que vous pouvez transmettre dans une demande d'API `CreateImage` ou `UpdateImage`, vous pouvez attacher la politique d'autorisation suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API : autorisations relatives aux rôles d'exécution
Les autorisations que vous accordez au rôle d’exécution pour appeler l’API `CreateNotebookInstance` dépendent de la façon dont vous prévoyez d’utiliser l’instance de bloc-notes. Si vous prévoyez de l'utiliser pour invoquer l' SageMaker IA APIs et transmettre le même rôle lorsque vous appelez le `CreateTrainingJob` et `CreateModel` APIs, associez la politique d'autorisation suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Pour restreindre les autorisations, limitez-les aux ressources Amazon S3 et Amazon ECR spécifiques, en limitant `"Resource": "*"` comme suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object1",
"arn:aws:s3:::outputbucket/path",
"arn:aws:s3:::inputbucket/object2",
"arn:aws:s3:::inputbucket/object3"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo1",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo2",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo3"
]
}
]
}
```
------
Si vous avez besoin d'accéder à d'autres sources, telles que des ressources Amazon DynamoDB ou Amazon Relational Database Service, ajoutez les autorisations adéquates à cette politique.
Dans la politique précédente, vous adaptez la stratégie comme suit :
+ Adaptez l’autorisation `s3:ListBucket` au compartiment spécifique que vous spécifiez sous la forme `InputDataConfig.DataSource.S3DataSource.S3Uri` dans une demande `CreateTrainingJob`.
+ Adaptez les autorisations `s3:GetObject `, `s3:PutObject`, et `s3:DeleteObject` comme suit :
+ Adaptez vos autorisations aux valeurs suivantes que vous spécifiez dans une demande `CreateTrainingJob` :
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Adaptez vos autorisations aux valeurs suivantes que vous spécifiez dans une demande `CreateModel` :
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ Adaptez les autorisations `ecr` comme suit :
+ Adaptez vos autorisations à la valeur `AlgorithmSpecification.TrainingImage` que vous spécifiez dans une demande `CreateTrainingJob`.
+ Adaptez vos autorisations à la valeur `PrimaryContainer.Image` que vous spécifiez dans une demande `CreateModel` :
Les actions `cloudwatch` et `logs` sont applicables aux ressources « \$1 ». Pour plus d'informations, consultez la section [CloudWatch Ressources et opérations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) dans le guide de CloudWatch l'utilisateur Amazon.
## CreateHyperParameterTuningJob API : autorisations relatives aux rôles d'exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `CreateHyperParameterTuningJob`, vous pouvez attacher la politique d’autorisation suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Au lieu de les spécifier`"Resource": "*"`, vous pouvez étendre ces autorisations à des ressources Amazon S3, Amazon ECR et Amazon CloudWatch Logs spécifiques :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Si le conteneur d’entraînement associé à la tâche de réglage d’hyperparamètre doit accéder à d’autres sources de données telles que les ressources DynamoDB ou Amazon RDS, ajoutez les autorisations pertinentes à cette politique.
Dans la politique précédente, vous adaptez la politique comme suit :
+ Adaptez l’autorisation `s3:ListBucket` à un compartiment spécifique que vous spécifiez sous la forme `InputDataConfig.DataSource.S3DataSource.S3Uri` dans une demande `CreateTrainingJob`.
+ Adaptez les autorisations `s3:GetObject ` et `s3:PutObject` aux objets suivants que vous spécifiez dans la configuration des données d’entrée et de sortie dans une demande `CreateHyperParameterTuningJob` :
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Adaptez les autorisations Amazon ECR au chemin de registre (`AlgorithmSpecification.TrainingImage`) que vous spécifiez dans une demande `CreateHyperParameterTuningJob`.
+ Élargissez CloudWatch les autorisations Amazon Logs pour enregistrer un groupe de tâches de SageMaker formation.
Les actions `cloudwatch` sont applicables aux ressources "\$1". Pour plus d'informations, consultez la section [ CloudWatch Ressources et opérations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) dans le guide de CloudWatch l'utilisateur Amazon.
Si vous spécifiez un VPC privé pour votre tâche de réglage d’hyperparamètres, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si votre entrée est chiffrée à l'aide d'un chiffrement côté serveur à l'aide d'une clé AWS gérée par KMS (SSE-KMS), ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si vous spécifiez une clé KMS dans la configuration de sortie de la tâche de réglage des hyper-paramètres, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si vous spécifiez une clé KMS de volume dans la configuration des ressources de la tâche de réglage des hyper-paramètres, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API : autorisations relatives aux rôles d'exécution
Pour un rôle d'exécution que vous pouvez transmettre dans une demande d'API `CreateProcessingJob`, vous pouvez attacher la politique d'autorisation suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Au lieu de spécifier `"Resource": "*"`, vous pouvez adapter ces autorisations à des ressources Amazon S3 et Amazon ECR spécifiques :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Si `CreateProcessingJob.AppSpecification.ImageUri` a besoin d'accéder à d'autres sources de données, telles que des ressources DynamoDB ou Amazon RDS, ajoutez les autorisations adéquates à cette politique.
Dans la politique précédente, vous adaptez la politique comme suit :
+ Adaptez l’autorisation `s3:ListBucket` à un compartiment spécifique que vous spécifiez sous la forme `ProcessingInputs` dans une demande `CreateProcessingJob`.
+ Adaptez les autorisations `s3:GetObject ` et `s3:PutObject` aux objets qui seront téléchargés ou téléchargés dans `ProcessingInputs` et `ProcessingOutputConfig` dans une requête `CreateProcessingJob`.
+ Adaptez les autorisations Amazon ECR au chemin de registre (`AppSpecification.ImageUri`) que vous spécifiez dans une demande `CreateProcessingJob`.
Les actions `cloudwatch` et `logs` sont applicables aux ressources « \$1 ». Pour plus d'informations, consultez la section [CloudWatch Ressources et opérations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) dans le guide de CloudWatch l'utilisateur Amazon.
Si vous spécifiez un VPC privé pour votre tâche de traitement, ajoutez les autorisations suivantes. Ne limitez pas la politique avec des conditions ou des filtres de ressources. Dans le cas contraire, les contrôles de validation effectués lors de la création de la tâche de traitement échouent.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si votre entrée est chiffrée à l'aide d'un chiffrement côté serveur à l'aide d'une clé AWS gérée par KMS (SSE-KMS), ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si vous spécifiez une clé KMS dans la configuration de sortie de la tâche de traitement, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si vous spécifiez une clé KMS de volume dans la configuration des ressources de la tâche de traitement, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API : autorisations relatives aux rôles d'exécution
Pour un rôle d'exécution que vous pouvez transmettre dans une demande d'API `CreateTrainingJob`, vous pouvez attacher la politique d'autorisation suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Au lieu de spécifier `"Resource": "*"`, vous pouvez adapter ces autorisations à des ressources Amazon S3 et Amazon ECR spécifiques :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Si `CreateTrainingJob.AlgorithSpecifications.TrainingImage` a besoin d'accéder à d'autres sources de données, telles que des ressources DynamoDB ou Amazon RDS, ajoutez les autorisations adéquates à cette politique.
Si vous spécifiez une ressource d'algorithme à l'aide du `AlgorithmSpecification.AlgorithmArn` paramètre, le rôle d'exécution doit également disposer de l'autorisation suivante :
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
Dans la politique précédente, vous adaptez la politique comme suit :
+ Adaptez l’autorisation `s3:ListBucket` à un compartiment spécifique que vous spécifiez sous la forme `InputDataConfig.DataSource.S3DataSource.S3Uri` dans une demande `CreateTrainingJob`.
+ Adaptez les autorisations `s3:GetObject ` et `s3:PutObject` aux objets suivants que vous spécifiez dans la configuration des données d’entrée et de sortie dans une demande `CreateTrainingJob` :
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Adaptez les autorisations Amazon ECR au chemin de registre (`AlgorithmSpecification.TrainingImage`) que vous spécifiez dans une demande `CreateTrainingJob`.
Les actions `cloudwatch` et `logs` sont applicables aux ressources « \$1 ». Pour plus d'informations, consultez la section [CloudWatch Ressources et opérations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) dans le guide de CloudWatch l'utilisateur Amazon.
Si vous spécifiez un VPC privé pour votre tâche d’entraînement, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Si votre entrée est chiffrée à l'aide d'un chiffrement côté serveur à l'aide d'une clé AWS gérée par KMS (SSE-KMS), ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Si vous spécifiez une clé KMS dans la configuration de sortie de la tâche d’entraînement, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Si vous spécifiez une clé KMS de volume dans la configuration des ressources de la tâche d’entraînement, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API : autorisations relatives aux rôles d'exécution
Pour un rôle d'exécution que vous pouvez transmettre dans une demande d'API `CreateModel`, vous pouvez attacher la politique d'autorisation suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Au lieu de spécifier `"Resource": "*"`, vous pouvez adapter ces autorisations à des ressources Amazon S3 et Amazon ECR spécifiques :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
]
}
]
}
```
------
Si `CreateModel.PrimaryContainer.Image` a besoin d'accéder à d'autres sources de données, telles que des ressources Amazon DynamoDB ou Amazon RDS, ajoutez les autorisations adéquates à cette politique.
Dans la politique précédente, vous adaptez la politique comme suit :
+ Adaptez les autorisations S3 aux objets que vous spécifiez dans le chemin `PrimaryContainer.ModelDataUrl` dans une demande [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
+ Adaptez les autorisations Amazon ECR à un chemin de registre spécifique que vous spécifiez sous les formes `PrimaryContainer.Image` et `SecondaryContainer.Image` dans une demande `CreateModel`.
Les actions `cloudwatch` et `logs` sont applicables aux ressources « \$1 ». Pour plus d'informations, consultez la section [CloudWatch Ressources et opérations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) dans le guide de CloudWatch l'utilisateur Amazon.
**Note**
Si vous envisagez d'utiliser la [fonctionnalité de garde-fous de déploiement de l'SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) pour le déploiement de modèles en production, assurez-vous que votre rôle d'exécution est autorisé à effectuer l'`cloudwatch:DescribeAlarms`action sur vos alarmes d'annulation automatique.
Si vous spécifiez un VPC privé pour votre modèle, ajoutez les autorisations suivantes :
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
# SageMaker rôles relatifs aux capacités géospatiales
En tant que service géré, les fonctionnalités SageMaker géospatiales d'Amazon effectuent des opérations en votre nom sur le AWS matériel géré par l' SageMaker IA. Gestion des identités et des accès AWS À utiliser pour accorder aux utilisateurs, aux groupes et aux rôles l'accès à la SageMaker géospatiale.
Un administrateur IAM peut accorder ces autorisations à un utilisateur, à un groupe ou à un rôle en utilisant le AWS Management Console AWS CLI, ou l'un des. AWS SDKs
**Pour utiliser le SageMaker géospatial, vous devez disposer des autorisations IAM suivantes.**
1. **Un rôle d'exécution de l' SageMaker IA.**
Pour utiliser les opérations d'API spécifiques à la SageMaker géospatiale, votre rôle d'exécution de l' SageMaker IA doit inclure le principal du service SageMaker géospatial `sagemaker-geospatial.amazonaws.com` dans la politique de confiance du rôle d'exécution. Cela permet au rôle d'exécution de l' SageMaker IA d'effectuer des actions Compte AWS en votre nom.
1. **Un utilisateur, un groupe ou un rôle ayant accès à Amazon SageMaker Studio Classic et à la technologie SageMaker géospatiale**
Pour démarrer avec la SageMaker géospatiale, vous pouvez utiliser la politique AWS gérée :`AmazonSageMakerGeospatialFullAccess`. Cette autorisation accordera à un utilisateur, à un groupe ou à un rôle un accès complet à la SageMaker géospatiale. Pour consulter la politique et en savoir plus sur les actions, les ressources et les conditions disponibles, consultez [AWS politique gérée : AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Pour commencer à utiliser Studio Classic et à créer un domaine Amazon SageMaker AI, consultez[Présentation du domaine Amazon SageMaker AI](gs-studio-onboard.md).
Utilisez les rubriques suivantes pour créer un nouveau rôle d'exécution d' SageMaker IA, mettre à jour un rôle d'exécution d' SageMaker IA existant et apprendre à gérer les autorisations à l'aide d'actions, de ressources et de conditions IAM spécifiques à la SageMaker géospatiale.
**Topics**
+ [Création d'un nouveau rôle d'exécution de l' SageMaker IA](sagemaker-geospatial-roles-create-execution-role.md)
+ [Ajouter le principal du service SageMaker géospatial à un rôle d'exécution d' SageMaker IA existant](sagemaker-geospatial-roles-pass-role.md)
+ [API `StartEarthObservationJob` : autorisations du rôle d’exécution](sagemaker-roles-start-eoj-perms.md)
+ [API `StartVectorEnrichmentJob` : autorisations du rôle d’exécution](sagemaker-roles-start-vej-perms.md)
+ [API `ExportEarthObservationJob` : autorisations du rôle d’exécution](sagemaker-roles-export-eoj-perms.md)
+ [API `ExportVectorEnrichmentJob` : autorisations du rôle d’exécution](sagemaker-roles-export-vej-perms.md)
# Création d'un nouveau rôle d'exécution de l' SageMaker IA
Pour utiliser les fonctionnalités SageMaker géospatiales, vous devez configurer un utilisateur, un groupe ou un rôle, ainsi qu'un rôle d'exécution. Un rôle d'utilisateur est une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'utilisateur peut et ne peut pas faire dans ce cadre AWS. Un rôle d’exécution est un rôle IAM qui accorde au service l’autorisation d’accéder à vos ressources AWS . Un rôle d'exécution comprend des autorisations et une politique de confiance. La stratégie de confiance spécifie quels principaux sont autorisés à assumer le rôle.
SageMaker la géospatiale nécessite également un principal de service différent,`sagemaker-geospatial.amazonaws.com`. Si vous êtes déjà un client SageMaker AI, vous devez ajouter ce principe de service supplémentaire à votre politique de confiance.
Utilisez la procédure suivante pour créer un nouveau rôle d’exécution avec la politique gérée par IAM, `AmazonSageMakerGeospatialFullAccess`, attachée. Si votre cas d’utilisation nécessite des autorisations plus détaillées, utilisez d’autres sections de ce guide pour créer un rôle d’exécution qui répond aux besoins de votre entreprise.
**Important**
La politique gérée par IAM, `AmazonSageMakerGeospatialFullAccess`, utilisée dans la procédure suivante, n’accorde que l’autorisation du rôle d’exécution pour effectuer certaines actions Amazon S3 sur des compartiments ou des objets avec `SageMaker`, `Sagemaker`, `sagemaker` ou `aws-glue` dans le nom. Pour découvrir comment mettre à jour la politique du rôle d’exécution pour lui accorder l’accès à d’autres compartiments et objets Amazon S3, consultez [Ajouter des autorisations Amazon S3 supplémentaires à un rôle d'exécution SageMaker AI](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**Pour créer un rôle**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sélectionnez **Roles (Rôles)**, puis sélectionnez **Create role (Créer un rôle)**.
1. Sélectionnez **SageMaker**.
1. Sélectionnez **Next: Permissions (Suivant : Autorisations)**.
1. La politique gérée IAM, `AmazonSageMakerGeospatialFullAccess`, est automatiquement attachée à ce rôle. Pour afficher les autorisations incluses dans cette politique, sélectionnez la flèche latérale en regard du nom de la politique. Sélectionnez **Next: Tags (Suivant : Balises)**.
1. (Facultatif) Ajoutez des balises et sélectionnez **Next: Review (Suivant : Vérification)**.
1. Nommez le rôle dans le champ de texte sous **Role name (Nom de rôle)** et sélectionnez **Create role (Créer un rôle)**.
1. Dans la section **Rôles** de la console IAM, sélectionnez le rôle que vous venez de créer à l’étape 7. Si nécessaire, utilisez la zone de texte pour rechercher le rôle à l’aide du nom de rôle que vous avez saisi à l’étape 7.
1. Sur la page de résumé, prenez note de l’ARN.
# Ajouter le principal du service SageMaker géospatial à un rôle d'exécution d' SageMaker IA existant
Pour utiliser les opérations d'API spécifiques à la SageMaker géospatiale, votre rôle d'exécution de l' SageMaker IA doit inclure le principal du service SageMaker géospatial `sagemaker-geospatial.amazonaws.com` dans la politique de confiance du rôle d'exécution. Cela permet au rôle d'exécution de l' SageMaker IA d'effectuer des actions Compte AWS en votre nom.
Des actions telles que le transfert d'un rôle entre les services sont courantes au sein de SageMaker l'IA. Pour en savoir plus,
Pour ajouter le principal de service SageMaker géospatial à un rôle d'exécution d' SageMaker IA existant, mettez à jour la politique existante afin d'inclure le principal de service SageMaker géospatial, comme indiqué dans la politique de confiance suivante. En associant le principal de service à la politique de confiance, un rôle d'exécution de l' SageMaker IA peut désormais exécuter les SageMaker tâches géospatiales spécifiques APIs en votre nom.
Pour en savoir plus sur les actions, ressources et conditions IAM spécifiques à la SageMaker géospatiale, consultez la section [Actions, ressources et clés de condition pour l' SageMaker IA](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) dans le guide de l'utilisateur *IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# API `StartEarthObservationJob` : autorisations du rôle d’exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `StartEarthObservationJob`, vous pouvez attacher la politique d’autorisations minimales suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Si votre compartiment Amazon S3 d'entrée est chiffré à l'aide d'un chiffrement côté serveur avec une clé AWS KMS gérée (SSE-KMS), consultez Utilisation des [clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) pour plus d'informations.
# API `StartVectorEnrichmentJob` : autorisations du rôle d’exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `StartVectorEnrichmentJob`, vous pouvez attacher la politique d’autorisations minimales suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si votre compartiment Amazon S3 d'entrée est chiffré à l'aide d'un chiffrement côté serveur avec une clé AWS KMS gérée (SSE-KMS), consultez Utilisation des [clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) pour plus d'informations.
# API `ExportEarthObservationJob` : autorisations du rôle d’exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `ExportEarthObservationJob`, vous pouvez attacher la politique d’autorisations minimales suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Si votre compartiment Amazon S3 d'entrée est chiffré à l'aide d'un chiffrement côté serveur avec une clé AWS KMS gérée (SSE-KMS), consultez Utilisation des [clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) pour plus d'informations.
# API `ExportVectorEnrichmentJob` : autorisations du rôle d’exécution
Pour un rôle d’exécution que vous pouvez transmettre dans une demande d’API `ExportVectorEnrichmentJob`, vous pouvez attacher la politique d’autorisations minimales suivante au rôle :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Si votre compartiment Amazon S3 d'entrée est chiffré à l'aide d'un chiffrement côté serveur avec une clé AWS KMS gérée (SSE-KMS), consultez Utilisation des clés de [compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
# Amazon SageMaker Role Manager
Les administrateurs de machine learning (ML) qui cherchent à obtenir des autorisations de moindre privilège avec Amazon SageMaker AI doivent tenir compte de la diversité des points de vue du secteur, y compris des besoins d'accès uniques liés au moindre privilège requis par des personnes telles que les scientifiques des données, les ingénieurs des opérations d'apprentissage automatique (MLOps), etc. Utilisez Amazon SageMaker Role Manager pour créer et gérer des rôles IAM personnalisés répondant aux besoins courants d'apprentissage automatique directement via la console Amazon SageMaker AI.
Amazon SageMaker Role Manager fournit 3 personnages de rôle préconfigurés et des autorisations prédéfinies pour les activités de machine learning courantes. Explorez les personas fournis et les politiques suggérées, ou créez et gérez des rôles pour des personas spécifiques aux besoins de votre entreprise. Si vous avez besoin d'une personnalisation supplémentaire, spécifiez les autorisations de mise en réseau et de chiffrement pour les ressources [Amazon Virtual Private Cloud](https://aws.amazon.com/vpc/) et les clés [Étape 1. Saisir les informations relatives au rôle](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) de [AWS Key Management Service](https://aws.amazon.com/kms/)chiffrement dans Amazon SageMaker Role Manager.
**Topics**
+ [Utilisation du gestionnaire de rôles (console)](role-manager-tutorial.md)
+ [Utilisation du gestionnaire de rôles (AWS CDK)](role-manager-tutorial-cdk.md)
+ [Référence de persona](role-manager-personas.md)
+ [Référence d’activité de ML](role-manager-ml-activities.md)
+ [Lancement de Studio Classic](role-manager-launch-notebook.md)
+ [Gestionnaire de rôles FAQs](role-manager-faqs.md)
# Utilisation du gestionnaire de rôles (console)
Vous pouvez utiliser Amazon SageMaker Role Manager depuis les emplacements suivants dans le menu de navigation de gauche de la console Amazon SageMaker AI :
+ **Mise en route** : ajoutez rapidement des politiques d’autorisation pour vos utilisateurs.
+ **domaines** — Ajoutez des politiques d'autorisation pour les utilisateurs d'un domaine Amazon SageMaker AI.
+ **Blocs-notes** : ajoutez les autorisations minimales pour les utilisateurs qui créent et exécutent des blocs-notes.
+ **Entraînement** : ajoutez les autorisations minimales aux utilisateurs qui créent et gèrent des tâches d'entraînement.
+ **Inférence** : ajoutez les autorisations minimales aux utilisateurs qui déploient et gèrent des modèles pour l’inférence.
Vous pouvez utiliser les procédures suivantes pour démarrer le processus de création d'un rôle à partir de différents emplacements de la console SageMaker AI.
## Prise en main
Si vous utilisez l' SageMaker IA pour la première fois, nous vous recommandons de créer un rôle dans la section **Getting started**.
Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.
1. Ouvrez la console Amazon SageMaker AI.
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d'administrateur**, choisissez **Gestionnaire de rôles**.
1. Choisissez **Créer un rôle**.
## domains
Vous pouvez créer un rôle à l'aide d'Amazon SageMaker Role Manager lorsque vous lancez le processus de création d'un domaine Amazon SageMaker AI.
Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.
1. Ouvrez la console Amazon SageMaker AI.
1. Dans le panneau de navigation de gauche, choisissez **Configurations d’administrateur**.
1. Sous **Configurations d’administrateur**, choisissez **Domaines**.
1. Choisissez **Create domain (Créer un domaine)**.
1. Choisissez **Créer un rôle à l'aide de l'assistant de création de rôle**.
## Bloc-notes
Vous pouvez créer un rôle à l'aide d'Amazon SageMaker Role Manager lorsque vous démarrez le processus de création d'un bloc-notes.
Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.
1. Ouvrez la console Amazon SageMaker AI.
1. Dans le panneau de navigation de gauche, sélectionnez **Bloc-notes**.
1. Choisissez **Notebook instances (Instances de blocs-notes)**.
1. Choisissez **Create notebook instance (Créer une instance de bloc-notes)**.
1. Choisissez **Créer un rôle à l'aide de l'assistant de création de rôle**.
## Entraînement
Vous pouvez créer un rôle à l'aide d'Amazon SageMaker Role Manager lorsque vous lancez le processus de création d'un poste de formation.
Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.
1. Ouvrez la console Amazon SageMaker AI.
1. Dans le panneau de navigation de gauche, choisissez **Entraînement**.
1. Sélectionnez **Tâches d'entraînement**.
1. Choisissez **Créer une tâche d’entraînement**.
1. Choisissez **Créer un rôle à l'aide de l'assistant de création de rôle**.
## Inférence
Vous pouvez créer un rôle à l'aide d'Amazon SageMaker Role Manager lorsque vous lancez le processus de déploiement d'un modèle à des fins d'inférence.
Pour créer un rôle à l'aide d'Amazon SageMaker Role Manager, procédez comme suit.
1. Ouvrez la console Amazon SageMaker AI.
1. Dans le menu de navigation de gauche, choisissez **Inférence**.
1. Sélectionnez **Modèles**.
1. Sélectionnez **Créer un modèle**.
1. Choisissez **Créer un rôle à l'aide de l'assistant de création de rôle**.
Une fois que vous avez effectué l'une des procédures précédentes, utilisez les informations des sections suivantes, qui vous aideront à créer le rôle.
## Conditions préalables
Pour utiliser Amazon SageMaker Role Manager, vous devez être autorisé à créer un rôle IAM. Cette autorisation est généralement disponible pour les administrateurs de machine learning et les rôles dotés d'autorisations de moindre privilège pour les praticiens du machine learning.
Vous pouvez assumer temporairement un rôle IAM dans le en AWS Management Console [changeant de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Pour plus d’informations sur les méthodes d’utilisation des rôles, consultez [Utilisation de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) dans le *Guide de l’utilisateur IAM*.
## Étape 1. Saisir les informations relatives au rôle
Entrez un nom à utiliser comme suffixe unique de votre nouveau rôle d' SageMaker IA. Par défaut, le préfixe `"sagemaker-"` est ajouté à chaque nom de rôle pour faciliter la recherche dans la console IAM. Par exemple, si vous nommez votre rôle `test-123` lors de la création du rôle, celui-ci s'affiche comme `sagemaker-test-123` dans la console IAM. Vous pouvez également ajouter une description de votre rôle pour fournir des détails supplémentaires.
Choisissez ensuite l'un des personnages disponibles pour obtenir des autorisations suggérées pour des personnages tels que les scientifiques des données, les ingénieurs de données ou les ingénieurs des opérations d'apprentissage automatique (MLOps). Pour plus d'informations sur les personas disponibles et leurs autorisations suggérées, consultez [Référence de persona](role-manager-personas.md). Pour créer un rôle sans aucune autorisation suggérée pour vous guider, choisissez **Custom Role Settings** (Paramètres de rôle personnalisés).
**Note**
Nous vous recommandons d'utiliser d'abord le gestionnaire de rôles pour créer un rôle de calcul SageMaker AI afin que les ressources informatiques de l' SageMaker IA soient en mesure d'effectuer des tâches telles que la formation et l'inférence. Utilisez le personnage SageMaker AI Compute Role pour créer ce rôle avec le gestionnaire de rôles. Après avoir créé un rôle de calcul SageMaker AI, prenez note de son ARN pour une utilisation future.
### Conditions de réseau et de chiffrement
Nous vous recommandons d'activer la personnalisation du VPC pour utiliser les configurations, les sous-réseaux et les groupes de sécurité avec des politiques IAM associées à votre nouveau rôle. Lorsque la personnalisation du VPC est activée, les politiques IAM relatives aux activités de machine learning qui interagissent avec les ressources du VPC sont limitées à l'accès au moindre privilège. La personnalisation VPC n'est pas activée par défaut. Pour plus de détails sur l'architecture réseau recommandée, consultez la section [Architecture réseau](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/networking-architecture.html) dans le *Guide technique AWS *.
Vous pouvez également utiliser une clé KMS pour chiffrer, déchiffrer et rechiffrer des données pour des charges de travail réglementées contenant des données hautement sensibles. Lorsque la AWS KMS personnalisation est activée, les politiques IAM pour les activités de machine learning qui prennent en charge les clés de chiffrement personnalisées sont limitées pour l'accès avec le moindre privilège. Pour plus d'informations, consultez la section [Chiffrement avec AWS KMS](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/encryption-with-kms.html) dans le *Guide technique AWS *.
## Étape 2. Configurer les activités de ML
Chaque activité d'Amazon SageMaker Role Manager ML inclut des autorisations IAM suggérées pour fournir un accès aux AWS ressources pertinentes. Certaines activités de machine learning nécessitent l'ajout d'un rôle de service ARNs pour terminer la configuration. Pour plus d’informations sur les activités de machine learning prédéfinies et leurs autorisations, consultez [Référence d’activité de ML](role-manager-ml-activities.md). Pour plus d’informations sur l’ajout de rôles de service, consultez [Rôles du service](#role-manager-tutorial-configure-ml-activities-service-roles).
En fonction de la persona choisie, certaines activités de machine learning sont déjà sélectionnées. Vous pouvez désélectionner toutes les activités de machine learning suggérées ou sélectionner des activités supplémentaires pour créer votre propre rôle. Si vous avez sélectionné la persona Custom Role Settings (Paramètres de rôle personnalisés), aucune activité de machine learning n'est présélectionnée à cette étape.
Vous pouvez ajouter des politiques IAM supplémentaires AWS ou gérées par le client à votre rôle dans. [Étape 3 : Ajouter des politiques et des balises supplémentaires](#role-manager-tutorial-add-policies-and-tags)
### Rôles du service
Certains AWS services nécessitent un rôle de service pour effectuer des actions en votre nom. Si l’activité de machine learning que vous avez sélectionnée nécessite que vous transmettiez un rôle de service, vous devez fournir l’ARN correspondant.
Vous pouvez créer un nouveau rôle de service ou utiliser un rôle existant, tel qu'un rôle de service créé avec le personnage SageMaker AI Compute Role. Vous pouvez trouver l’ARN d’une fonction existante en sélectionnant le nom de la fonction dans la section Rôles de la [console IAM](https://console.aws.amazon.com/iamv2/). Pour en savoir plus sur les rôles de service, voir [Création d'un rôle pour un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
## Étape 3 : Ajouter des politiques et des balises supplémentaires
Vous pouvez ajouter des politiques IAM existantes AWS ou gérées par le client à votre nouveau rôle. Pour plus d'informations sur les politiques d' SageMaker IA existantes, consultez la section [Politiques AWS gérées pour Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html). Vous pouvez également vérifier vos politiques existantes dans la section **Roles** (Rôles) de la [console IAM](https://console.aws.amazon.com/iamv2/).
Vous pouvez éventuellement utiliser des conditions de politique basées sur des balises pour attribuer des informations de métadonnées afin de classer et de gérer AWS les ressources. Chaque balise est représentée par une paire clé-valeur. Pour plus d’informations, consultez [Contrôle de l’accès aux ressources AWS avec des balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
## Passer en revue la fonction
Prenez le temps de passer en revue toutes les informations associées à votre nouveau rôle. Choisissez **Previous** (Précédent) pour revenir en arrière et modifier les informations. Lorsque vous êtes prêt à créer votre fonction, choisissez **Create role** (Créer la fonction). Cela génère une fonction avec des autorisations pour les activités de machine learning que vous avez sélectionnées. Vous pouvez consulter votre nouvelle fonction dans la section **Roles** (Rôles) de la [console IAM](https://console.aws.amazon.com/iamv2/).
# Utilisation du gestionnaire de rôles (AWS CDK)
Utilisez le AWS Cloud Development Kit (AWS CDK) avec Amazon SageMaker Role Manager pour créer des rôles et définir des autorisations de manière programmatique. Vous pouvez utiliser le AWS CDK pour accomplir n'importe quelle tâche que vous pourriez effectuer à l'aide du AWS Management Console. L'accès par programmation de CDK permet de fournir plus facilement des autorisations permettant à vos utilisateurs d'accéder à des ressources spécifiques. Pour plus d'informations sur le AWS CDK, voir [Qu'est-ce que c'est AWS CDK ?](https://docs.aws.amazon.com/cdk/v2/guide/home.html)
**Important**
Vous devez utiliser le personnage SageMaker AI Compute Role pour créer un rôle SageMaker AI Compute Role. Pour plus d’informations sur le persona de calcul, consultez [SageMaker Personnalité informatique basée sur l'IA](role-manager-personas.md#role-manager-personas-compute). Pour le code que vous pouvez utiliser pour créer le rôle de calcul dans le AWS CDK, voir[Octroi d'autorisations à un persona de calcul](#role-manager-cdk-compute-persona).
Voici des exemples de tâches que vous pouvez effectuer dans AWS CDK :
+ Créez des rôles IAM avec des autorisations détaillées pour les acteurs du machine learning (ML), tels que les data scientists et les ingénieurs. MLOps
+ Accorder des autorisations aux constructions CDK à partir de personas de ML ou d'activités de ML.
+ Définir des paramètres de condition d'activité de ML.
+ Activez le VPC et les AWS Key Management Service conditions Amazon globaux et définissez des valeurs pour celles-ci.
+ Choisir parmi toutes les versions des activités de ML pour vos utilisateurs sans interrompre leur accès.
Certaines AWS tâches courantes liées à l'apprentissage automatique (ML) avec l' SageMaker IA nécessitent des autorisations IAM spécifiques. Les autorisations pour effectuer les tâches sont définies comme des activités de machine learning dans Amazon SageMaker Role Manager. Les activités de ML spécifient un ensemble d’autorisations liées au rôle IAM. Par exemple, l'activité ML pour Amazon SageMaker Studio Classic dispose de toutes les autorisations dont un utilisateur a besoin pour accéder à Studio Classic. Pour plus d’informations sur les activités de ML, consultez [Référence d’activité de ML](role-manager-ml-activities.md).
Lorsque vous créez des rôles, vous définissez d'abord les constructions pour le persona de ML ou l'activité de ML. Une construction est une ressource au sein de la AWS CDK pile. Par exemple, une construction peut être un compartiment Amazon S3, un sous-réseau Amazon VPC ou un rôle IAM.
Lorsque vous créez le persona ou l'activité, vous pouvez limiter les autorisations associées à ce persona ou à cette activité à des ressources spécifiques. Par exemple, vous pouvez personnaliser l'activité pour fournir des autorisations uniquement pour un sous-réseau spécifique au sein d'un réseau Amazon VPC.
Après avoir défini les autorisations, vous pouvez créer des rôles, puis les transmettre pour créer d'autres ressources, telles que des instances de SageMaker bloc-notes.
Vous trouverez ci-dessous des exemples de code en Typescript pour les tâches que vous pouvez accomplir à l'aide de CDK. Lorsque vous créez une activité, vous spécifiez un identifiant et les options de la construction de l'activité. Les options sont des dictionnaires qui spécifient les paramètres requis pour les activités, tels qu'Amazon S3. Vous transmettez un dictionnaire vide pour les activités qui n'ont pas de paramètres requis.
## Octroi d'autorisations à un persona de calcul
Le code suivant crée un persona de ML Scientifique des données avec un ensemble d'activités de ML spécifiques à ce persona. Les autorisations issues des activités de machine learning s'appliquent uniquement au VPC Amazon et aux AWS KMS configurations spécifiées dans la structure persona. Le code suivant crée une classe pour un persona Scientifique des données. Les activités de ML sont définies dans la liste des activités. Les autorisations du VPC et les autorisations KMS sont définies comme des paramètres facultatifs en dehors de la liste des activités.
Après avoir défini la classe, vous pouvez créer un rôle sous forme de construction au sein de la AWS CDK pile. Vous pouvez également créer une instance de bloc-notes. La personne qui utilise le rôle IAM que vous avez créé dans le code suivant peut accéder à l'instance de bloc-notes lorsqu'elle se connecte à son AWS compte.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.accessAwsServices(this, 'example-id1', {})
]
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Octroi d'autorisations à un persona Scientifique des données
Le code suivant crée un persona de ML Scientifique des données avec un ensemble d'activités de ML spécifiques à ce persona. Les autorisations issues des activités de ML ne s'appliquent qu'aux configurations du VPC et de KMS spécifiées dans la construction du persona. Le code suivant crée une classe pour un persona Scientifique des données. Les activités de ML sont définies dans la liste des activités. Les autorisations Amazon VPC et les AWS KMS autorisations sont définies comme des paramètres facultatifs en dehors de la liste des activités.
Après avoir défini la classe, vous pouvez créer un rôle sous forme de construction au sein de la AWS CDK pile. Vous pouvez également créer une instance de bloc-notes. La personne qui utilise le rôle IAM que vous avez créé dans le code suivant peut accéder à l'instance de bloc-notes lorsqu'elle se connecte à son AWS compte.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageJobs(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageModels(this, 'example-id3', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageExperiments(this, 'example-id4', {}),
Activity.visualizeExperiments(this, 'example-id5', {}),
Activity.accessS3Buckets(this, 'example-id6', {s3buckets: [s3.S3Bucket.fromBucketName('amzn-s3-demo-bucket')]})
],
// optional: to configure VPC permissions
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
// optional: to configure KMS permissions
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
const notebookInstance = new CfnNotebookInstance(this, 'example-notebook-instance-name', { RoleArn: role.RoleArn, ...});
}
}
```
## Octroi d'autorisations à un persona ML Ops
Le code suivant crée un persona ML Ops avec un ensemble d'activités de ML spécifiques à ce persona. Les autorisations issues des activités de machine learning s'appliquent uniquement au VPC Amazon et aux AWS KMS configurations spécifiées dans la structure persona. Le code suivant crée une classe pour un persona ML Ops. Les activités de ML sont définies dans la liste des activités. Les autorisations du VPC et les autorisations KMS sont définies comme des paramètres facultatifs en dehors de la liste des activités.
Après avoir défini la classe, vous pouvez créer un rôle sous forme de construction au sein de la AWS CDK pile. Vous pouvez également créer un profil utilisateur Amazon SageMaker Studio Classic. La personne qui utilise le rôle IAM que vous avez créé dans le code suivant peut ouvrir SageMaker Studio Classic lorsqu'elle se connecte à son AWS compte.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
let userProfile = new CfnNUserProfile(this, 'example-Studio Classic-profile-name', { RoleName: role.RoleName, ... });
}
}
```
## Octroi d’autorisations à une construction
Le code suivant crée un persona ML Ops avec un ensemble d'activités de ML spécifiques à ce persona. Le code suivant crée une classe pour un persona ML Ops. Les activités de ML sont définies dans la liste des activités.
Après avoir défini la classe, vous pouvez créer un rôle sous forme de construction au sein de la AWS CDK pile. Vous pouvez également créer une instance de bloc-notes. Le code accorde des autorisations issues des activités de ML au rôle IAM de la fonction Lambda.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
});
const lambdaFn = lambda.Function.fromFunctionName('example-lambda-function-name');
persona.grantPermissionsTo(lambdaFn);
}
}
```
## Octroi d'autorisations pour une activité de ML individuelle
Le code suivant crée une activité de ML et crée un rôle à partir de cette activité. Les autorisations issues de l'activité s'appliquent uniquement à la configuration du VPC et de KMS que vous spécifiez pour l'utilisateur.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = activity.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Création d'un rôle et octroi d'autorisations pour une activité individuelle
Le code suivant crée un rôle IAM pour une activité de ML individuelle.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
});
activity.create_role(this, 'example-IAM-role-id', 'example-IAM-role-name')
}
}
```
# Référence de persona
Amazon SageMaker Role Manager fournit des autorisations suggérées pour un certain nombre de personnes du ML. Il s'agit notamment des rôles d'exécution des utilisateurs pour les responsabilités courantes des praticiens du ML ainsi que des rôles d'exécution des services pour les interactions de AWS service courantes nécessaires pour travailler avec l' SageMaker IA.
Chaque persona a des autorisations suggérées sous la forme d’activités de machine learning sélectionnées. Pour plus d’informations sur les activités de machine learning prédéfinies et leurs autorisations, consultez [Référence d’activité de ML](role-manager-ml-activities.md).
## Persona Data scientist
Utilisez ce personnage pour configurer les autorisations nécessaires au développement général et à l'expérimentation de l'apprentissage automatique dans un environnement d' SageMaker IA. Cette persona inclut les activités de machine learning présélectionnées suivantes :
+ Exécuter les applications Studio Classic
+ Gestion des tâches de ML
+ Gestion des modèles
+ Gérer les AWS Glue tables
+ Services Canvas AI
+ Toile MLOps
+ Accès de Canvas à Kendra
+ Utiliser MLflow
+ Accès requis aux AWS services pour MLflow
+ Exécuter les applications EMR sans serveur sur Studio
## MLOps persona
Choisissez cette persona pour configurer les autorisations relatives aux activités opérationnelles. Cette persona inclut les activités de machine learning présélectionnées suivantes :
+ Exécuter les applications Studio Classic
+ Gestion des modèles
+ Gestion des pipelines
+ Rechercher et visualiser les expériences
+ Accès complet à Amazon S3
## SageMaker Personnalité informatique basée sur l'IA
**Note**
Nous vous recommandons d'utiliser d'abord le gestionnaire de rôles pour créer un rôle de calcul SageMaker AI afin que les ressources informatiques de l' SageMaker IA puissent effectuer des tâches telles que la formation et l'inférence. Utilisez le personnage SageMaker AI Compute Role pour créer ce rôle avec le gestionnaire de rôles. Après avoir créé un rôle de calcul SageMaker AI, prenez note de son ARN pour une utilisation future.
Cette persona inclut l’activité de machine learning présélectionnée suivante :
+ Accès aux AWS services requis
# Référence d’activité de ML
Les activités de machine learning sont AWS des tâches courantes liées à l'apprentissage automatique avec l' SageMaker IA qui nécessitent des autorisations IAM spécifiques. Chaque [personnage](https://docs.aws.amazon.com/sagemaker/latest/dg/role-manager-personas.html) suggère des activités de machine learning associées lors de la création d'un rôle avec Amazon SageMaker Role Manager. Vous pouvez sélectionner toutes les activités de machine learning supplémentaires ou désélectionner des activités de machine learning suggérées pour créer un rôle répondant à vos besoins métier uniques.
Amazon SageMaker Role Manager fournit des autorisations prédéfinies pour les activités ML suivantes :
****
| **Activité de machine learning** | **Description** |
| --- | --- |
| Accès aux AWS services requis | Autorisations d'accès à Amazon S3, Amazon ECR CloudWatch, Amazon et Amazon EC2. Requis pour les rôles d’exécution des tâches et des points de terminaison. |
| Exécuter les applications Studio Classic | Autorisations d’exploitation au sein d’un environnement Studio Classic. Obligatoire pour les rôles d’exécution du domaine et du profil utilisateur. |
| Gestion des tâches de ML | Autorisations pour auditer, interroger le lignage et visualiser les expériences. |
| Gestion des modèles | Autorisations pour gérer les tâches liées à SageMaker l'IA tout au long de leur cycle de vie. |
| Gestion des pipelines | Autorisations pour gérer les SageMaker pipelines et les exécutions de pipelines. |
| Rechercher et visualiser les expériences | Autorisations permettant d'auditer, d'interroger le lignage et de visualiser des expériences d' SageMaker IA. |
| Gérer la surveillance de modèle | Autorisations permettant de gérer les calendriers de surveillance pour SageMaker AI Model Monitor. |
| Accès complet à Amazon S3 | Autorisations pour effectuer toutes les opérations Amazon S3. |
| Accès au compartiment Amazon S3 | Autorisations permettant d’effectuer des opérations sur des compartiments Amazon S3 spécifiés. |
| Groupes de travail Query Athena | Autorisations pour exécuter et gérer les requêtes Amazon Athena. |
| Gérer les AWS Glue tables | Autorisations permettant de créer et de gérer AWS Glue des tables pour SageMaker AI Feature Store et Data Wrangler. |
| SageMaker Accès à Canvas Core | Autorisations pour effectuer des expérimentations dans SageMaker Canvas (préparation des données de base, construction du modèle, validation). |
| SageMaker Préparation des données Canvas (optimisée par Data Wrangler) | Autorisations pour effectuer la préparation end-to-end des données dans SageMaker Canvas (c'est-à-dire agréger, transformer et analyser des données, créer et planifier des tâches de préparation de données sur de grands ensembles de données). |
| SageMaker Services d'IA Canvas | Autorisations d'accès aux ready-to-use modèles d'Amazon Bedrock, Amazon Textract, Amazon Rekognition et Amazon Comprehend. De plus, l'utilisateur peut affiner les modèles de base d'Amazon Bedrock et Amazon. SageMaker JumpStart |
| SageMaker Canevas MLOps | Autorisation pour les utilisateurs de SageMaker Canvas de déployer directement le modèle sur le point de terminaison. |
| SageMaker Accès à Canvas Kendra | Autorisation pour SageMaker Canvas d'accéder à Amazon Kendra pour la recherche de documents d'entreprise. Cette autorisation n’est accordée qu’aux noms d’index que vous avez sélectionnés dans Amazon Kendra. |
| Utiliser MLflow | Autorisations permettant de gérer les expériences, les essais et les modèles dans MLflow. |
| Gérer les serveurs MLflow de suivi | Autorisations pour gérer, démarrer et arrêter les serveurs MLflow de suivi. |
| Accès requis aux AWS services pour MLflow | Autorisations permettant aux serveurs de MLflow suivi d'accéder à S3, à Secrets Manager et à Model Registry. |
| Exécuter les applications EMR sans serveur sur Studio | Autorisations pour créer et gérer des applications EMR sans serveur sur Amazon Studio. SageMaker |
# Lancement de Studio Classic
Utilisez vos rôles axés sur des personas pour lancer Studio Classic. Si vous êtes administrateur, vous pouvez autoriser vos utilisateurs à accéder à Studio Classic et leur demander d'assumer leur rôle personnel soit directement par le AWS Management Console biais du AWS IAM Identity Center.
## Lancez Studio Classic avec AWS Management Console
Pour que les scientifiques des données ou d’autres utilisateurs puissent assumer leur persona donné via la AWS Management Console, ils ont besoin d’un rôle de console pour accéder à l’environnement Studio Classic.
Vous ne pouvez pas utiliser Amazon SageMaker Role Manager pour créer un rôle qui accorde des autorisations au AWS Management Console. Toutefois, après avoir créé une fonction du service dans le gestionnaire de fonctions, vous pouvez accéder à la console IAM pour modifier la fonction et ajouter un rôle d'accès utilisateur. Voici un exemple de rôle fournissant aux utilisateurs un accès à la AWS Management Console :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeCurrentDomain",
"Effect": "Allow",
"Action": "sagemaker:DescribeDomain",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:domain/"
},
{
"Sid": "RemoveErrorMessagesFromConsole",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAcceptedPortfolioShares",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:ListModels",
"sagemaker:ListTrainingJobs",
"servicecatalog:ListPrincipalsForPortfolio",
"sagemaker:ListNotebookInstances",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "RequiredForAccess",
"Effect": "Allow",
"Action": [
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": "*"
},
{
"Sid": "CreatePresignedURLForAccessToDomain",
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedDomainUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:user-profile//"
}
]
}
```
------
Dans le panneau de configuration de Studio Classic, choisissez **Ajouter un utilisateur** pour créer un nouvel utilisateur. Dans la section **Paramètres généraux**, donnez un nom à votre utilisateur et définissez le **rôle d'exécution par défaut** de l'utilisateur comme étant le rôle que vous avez créé à l'aide d'Amazon SageMaker Role Manager.
Sur l'écran suivant, choisissez la version appropriée de Jupyter Lab et indiquez si vous souhaitez activer SageMaker JumpStart les modèles de projet SageMaker AI. Ensuite, sélectionnez **Suivant**. Sur la page des paramètres de SageMaker Canvas, choisissez d'activer le support de SageMaker Canvas et d'autoriser la prévision des séries chronologiques dans SageMaker Canvas. Ensuite, choisissez **Submit** (Soumettre).
Votre nouvel utilisateur doit désormais être visible dans le panneau de configuration de Studio Classic. Pour tester cet utilisateur, choisissez **Studio** dans la liste déroulante **Lancer l’application** sur la même ligne que le nom de l’utilisateur.
## Lancement de Studio avec IAM Identity Center
Pour attribuer des rôles d’exécution à des utilisateurs d’IAM Identity Center, l’utilisateur doit d’abord figurer dans le répertoire IAM Identity Center. Pour plus d’informations, consultez [Manage identities in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) dans le *AWS IAM Identity Center*.
**Note**
Votre répertoire d’authentification IAM Identity Center et votre domaine Studio Classic doivent se trouver dans la même Région AWS.
1. Pour attribuer des utilisateurs d’IAM Identity Center à votre domaine Studio Classic, choisissez **Attribuer des utilisateurs et des groupes** dans le panneau de configuration de Studio Classic. Sur l’écran **Attribuer des utilisateurs et des groupes**, sélectionnez votre utilisateur data scientist, puis choisissez **Attribuer des utilisateurs et des groupes**.
1. Une fois l’utilisateur ajouté au panneau de configuration de Studio Classic, choisissez-le pour ouvrir l’écran des détails de l’utilisateur.
1. Sur l’écran **User Details** (Détails de l’utilisateur), choisissez **Edit** (Modifier).
1. Sur l'écran **Edit user profile** (Modifier le profil utilisateur), sous **General settings** (Paramètres généraux), modifiez **Default execution role** (Rôle d'exécution par défaut) pour qu'il corresponde au rôle d'exécution utilisateur que vous avez créé pour vos data scientists.
1. Choisissez **Next** (Suivant) sur le reste des pages de paramètres, puis choisissez **Submit** (Soumettre) pour enregistrer vos modifications.
Lorsque votre scientifique des données ou un autre utilisateur se connecte au portail IAM Identity Center, une vignette correspondant à ce domaine Studio Classic s’affiche. Le choix de cette vignette le connecte à Studio Classic avec le rôle d’exécution utilisateur qui lui a été attribué.
# Gestionnaire de rôles FAQs
Consultez les éléments de FAQ suivants pour obtenir des réponses aux questions fréquemment posées sur Amazon SageMaker Role Manager.
## Q : Comment puis-je accéder à Amazon SageMaker Role Manager ?
R : Vous pouvez accéder à Amazon SageMaker Role Manager via plusieurs sites dans la console Amazon SageMaker AI. Pour en savoir plus sur l’accès au gestionnaire de rôles et son utilisation pour créer un rôle, consultez [Utilisation du gestionnaire de rôles (console)](role-manager-tutorial.md).
## Q. Que sont les personas ?
R. Les personas sont des groupes d’autorisations préconfigurés basés sur des responsabilités communes en matière de machine learning (ML). Par exemple, le personnage de la science des données suggère des autorisations pour le développement général et l'expérimentation de l'apprentissage automatique dans un environnement d' SageMaker IA, tandis que le MLOps personnage suggère des autorisations pour les activités de machine learning liées aux opérations.
## Q. Que sont les activités de machine learning ?
R : Les activités de machine learning sont AWS des tâches courantes liées à l'apprentissage automatique avec l' SageMaker IA qui nécessitent des autorisations IAM spécifiques. Chaque personnage suggère des activités de machine learning associées lors de la création d'un rôle avec Amazon SageMaker Role Manager. Les activités de machine learning incluent des tâches telles que l'accès complet à Amazon S3 ou la recherche et la visualisation d'expériences. Pour de plus amples informations, veuillez consulter [Référence d’activité de ML](role-manager-ml-activities.md).
## Q : Les rôles que je crée sont-ils des rôles de gestionnaire de rôles Gestion des identités et des accès AWS (IAM) ?
A : Oui. Les rôles créés à l'aide d'Amazon SageMaker Role Manager sont des rôles IAM dotés de politiques d'accès personnalisées. Vous pouvez consulter les rôles créés dans la section **Roles** (Rôles) de la [console IAM](https://console.aws.amazon.com/iamv2/).
## Q : Comment puis-je consulter les rôles que j'ai créés à l'aide d'Amazon SageMaker Role Manager ?
R. Vous pouvez consulter les rôles dans la section **Roles** (Rôles) de la [console IAM](https://console.aws.amazon.com/iamv2/). Par défaut, le préfixe `"sagemaker-"` est ajouté à chaque nom de rôle pour faciliter la recherche dans la console IAM. Par exemple, si vous avez nommé votre rôle `test-123` lors de la création du rôle, celui-ci s'affiche comme `sagemaker-test-123` dans la console IAM.
## Q : Puis-je modifier un rôle créé avec Amazon Role SageMaker Manager une fois qu'il a été créé ?
A : Oui. Vous pouvez modifier les rôles et les politiques créés par Amazon SageMaker Role Manager via la [console IAM](https://console.aws.amazon.com/iamv2/). Pour plus d'informations, consultez [Modification d'un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) dans le *Guide de l'utilisateur Gestion des identités et des accès AWS *.
## Q : Puis-je associer mes propres politiques aux rôles créés à l'aide d'Amazon SageMaker Role Manager ?
A : Oui. Vous pouvez associer n'importe quelle AWS politique IAM gérée par le client depuis votre compte au rôle que vous créez à l'aide d'Amazon SageMaker Role Manager.
## Q : Combien de politiques puis-je ajouter à un rôle que je crée avec Amazon SageMaker Role Manager ?
R. La limite maximale d'association de politiques gérées à un rôle IAM ou à un utilisateur est de 20. La taille maximale de caractères pour les politiques gérées est de 6 144. Pour plus d'informations, consultez les [Quotas d'objets IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities) et [Exigences relatives aux noms de quotas IAM et AWS Security Token Service , et limites de caractères](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html).
## Q. Puis-je ajouter des conditions aux activités de machine learning ?
R : Toutes les conditions que vous fournissez dans Amazon [Étape 1. Saisir les informations relatives au rôle](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) SageMaker Role Manager, telles que les sous-réseaux, les groupes de sécurité ou les clés KMS, sont automatiquement transmises à toutes les activités ML sélectionnées dans[Étape 2. Configurer les activités de ML](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities). Vous pouvez également ajouter des conditions supplémentaires aux activités de machine learning si nécessaire. Par exemple, vous pouvez également ajouter des conditions `InstanceTypes` ou `IntercontainerTrafficEncryption` à l'activité Manage Training Jobs (Gérer les tâches d'entraînement).
## Q : Puis-je utiliser le balisage pour gérer l'accès à n'importe quelle AWS ressource ?
R : **** Vous pouvez ajouter des balises à votre rôle dans [Étape 3 : Ajouter des politiques et des balises supplémentaires](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags) Amazon SageMaker Role Manager. Pour gérer correctement les AWS ressources à l'aide de balises, vous devez ajouter la même balise au rôle et aux politiques associées. Par exemple, vous pouvez ajouter une balise à un rôle et à un compartiment Amazon S3. Ensuite, comme le rôle transmet le tag à la session SageMaker AI, seul un utilisateur doté de ce rôle peut accéder à ce compartiment S3. Vous pouvez ajouter des balises à une politique via la [console IAM](https://console.aws.amazon.com/iamv2/). Pour plus d’informations, consultez [Balisage des rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html) dans le *Guide de l’utilisateur Gestion des identités et des accès AWS *.
## Q : Puis-je utiliser Amazon SageMaker Role Manager pour créer un rôle permettant d'accéder au AWS Management Console ?
R. Non. Toutefois, après avoir créé une fonction du service dans le gestionnaire de fonctions, vous pouvez accéder à la console IAM pour modifier la fonction et ajouter un rôle d’accès utilisateur dans la console IAM.
## Q : Quelle est la différence entre un rôle de fédération d'utilisateurs et un rôle d'exécution d' SageMaker IA ?
R. Un rôle de fédération d’utilisateurs est directement assumé par un utilisateur pour accéder à des ressources AWS telles que l’accès à la AWS Management Console. Un rôle d'exécution d' SageMaker IA est assumé par le service d' SageMaker IA pour exécuter une fonction pour le compte d'un utilisateur ou d'un outil d'automatisation. Par exemple, lorsqu’un utilisateur ouvre une instance Studio Classic, Studio Classic assume le rôle d’exécution associé au profil utilisateur afin d’accéder aux ressources AWS pour le compte de l’utilisateur. Si le profil utilisateur ne spécifie aucun rôle d'exécution, celui-ci est spécifié au niveau du domaine Amazon SageMaker AI.
## Q. Si j’utilise une application Web personnalisée qui accède à Studio Classic via une URL présignée, quel rôle est utilisé ?
R : Si vous utilisez une application Web personnalisée pour accéder à Studio Classic, vous disposez d'un rôle de fédération d'utilisateurs hybride et d'un rôle d'exécution d' SageMaker IA. Assurez-vous que ce rôle dispose des autorisations de moindre privilège, à la fois pour ce que l’utilisateur peut faire et pour ce que Studio Classic peut faire pour le compte de l’utilisateur associé.
## Q : Puis-je utiliser Amazon SageMaker Role Manager avec l'authentification AWS IAM Identity Center pour mon domaine Studio Classic ?
R : Les applications cloud AWS IAM Identity Center Studio Classic utilisent un rôle d'exécution Studio Classic pour accorder des autorisations aux utilisateurs fédérés. Ce rôle d’exécution peut être spécifié au niveau du profil utilisateur IAM Identity Center de Studio Classic ou au niveau du domaine par défaut. Les identités et les groupes d'utilisateurs doivent être synchronisés dans IAM Identity Center et le profil utilisateur Studio Classic doit être créé avec l'attribution d'utilisateurs IAM Identity Center à l'aide de. [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) Pour de plus amples informations, veuillez consulter [Lancement de Studio avec IAM Identity Center](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center).
# Contrôle d’accès pour les blocs-notes
Vous devez utiliser différentes procédures pour contrôler l'accès aux blocs-notes et SageMaker aux instances de blocs-notes Amazon SageMaker Studio Classic, car ils ont des environnements d'exécution différents. Studio Classic utilise les autorisations de système de fichiers et les conteneurs pour contrôler l’accès aux blocs-notes Studio Classic et l’isolation des utilisateurs. Une instance de SageMaker bloc-notes donne aux utilisateurs qui se connectent à l'instance de bloc-notes un accès root par défaut. Les rubriques suivantes décrivent comment modifier les autorisations pour les deux types de blocs-notes.
**Topics**
+ [Contrôle d'accès et définition des autorisations pour les blocs-notes SageMaker Studio](security-access-control-studio-nb.md)
+ [Contrôler l'accès root à une instance de SageMaker bloc-notes](nbi-root-access.md)
# Contrôle d'accès et définition des autorisations pour les blocs-notes SageMaker Studio
Amazon SageMaker Studio utilise les autorisations des systèmes de fichiers et des conteneurs pour le contrôle d'accès et l'isolation des utilisateurs et des ordinateurs portables de Studio. Il s'agit de l'une des principales différences entre les blocs-notes Studio et les instances de SageMaker blocs-notes. Cette rubrique décrit comment les autorisations sont configurées pour éviter les menaces de sécurité, ce que fait l' SageMaker IA par défaut et comment le client peut personnaliser les autorisations. Pour plus d’informations sur les blocs-notes Studio et leur environnement d’exécution, consultez [Utiliser les blocs-notes Amazon SageMaker Studio Classic](notebooks.md).
**SageMaker Autorisations des applications AI**
Un *utilisateur run-as* est un POSIX utilisé pour exécuter user/group l' JupyterServer application et les KernelGateway applications à l'intérieur du conteneur.
L'utilisateur run-as de l' JupyterServer application est sagemaker-user (1000) par défaut. Cet utilisateur dispose d'autorisations sudo pour activer l'installation de dépendances telles que les packages yum.
L'utilisateur run-as pour les KernelGateway applications est root (0) par défaut. Cet utilisateur peut installer des dépendances à l'aide depip/apt-get/conda.
En raison du remappage d'utilisateur, aucun utilisateur n'est en mesure d'accéder aux ressources ou d'apporter des modifications à l'instance hôte.
**Remappage d’utilisateur**
SageMaker L'IA effectue un remappage utilisateur pour mapper un utilisateur à l'intérieur du conteneur à un utilisateur de l'instance hôte située à l'extérieur du conteneur. La plage d'utilisateurs IDs (0 à 65535) dans le conteneur est mappée à l'utilisateur non privilégié IDs supérieur à 65535 sur l'instance. Par exemple, sagemaker-user (1000) à l'intérieur du conteneur peut mapper à l'utilisateur (200001) sur l'instance, où le nombre entre parenthèses est l'ID utilisateur. Si le client en crée un nouveau user/group dans le conteneur, il ne sera pas privilégié sur l'instance hôte, quel que soit son user/group identifiant. L'utilisateur racine du conteneur est également mappé à un utilisateur non privilégié sur l'instance. Pour plus d’informations, consultez [Isolate containers with a user namespace](https://docs.docker.com/engine/security/userns-remap/).
**Note**
Les fichiers créés par l’utilisateur sagemaker-user peuvent sembler appartenir à sagemaker-studio (uid 65534). Il s'agit d'un effet secondaire d'un mode de création rapide d'applications dans lequel les images des conteneurs d' SageMaker IA sont préextraites, ce qui permet aux applications de démarrer en moins d'une minute. Si votre application nécessite que l’UID du propriétaire du fichier et l’UID du propriétaire du processus correspondent, demandez au service clientèle de supprimer votre numéro de compte de la fonctionnalité de pré-extraction d’image.
**Autorisations d’image personnalisée**
Les clients peuvent apporter leurs propres SageMaker images personnalisées. Ces images peuvent spécifier un autre mode d'exécution user/group pour lancer l' KernelGateway application. Le client peut implémenter un contrôle d'autorisation précis à l'intérieur de l'image, par exemple, pour désactiver l'accès racine ou effectuer d'autres actions. Le même remappage utilisateur s'applique ici. Pour de plus amples informations, veuillez consulter [Images personnalisées dans Amazon SageMaker Studio Classic](studio-byoi.md).
**Isolation du conteneur**
Docker conserve une liste des fonctionnalités par défaut que le conteneur peut utiliser. SageMaker L'IA n'ajoute pas de fonctionnalités supplémentaires. SageMaker L'IA ajoute des règles de routage spécifiques pour bloquer les demandes adressées à Amazon EFS et au [service de métadonnées d'instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service) (IMDS) depuis le conteneur. Les clients ne peuvent pas modifier ces règles d’acheminement à partir du conteneur. Pour plus d’informations, consultez [Runtime privilege and Linux capabilities](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities).
**Accès aux métadonnées de l'appli**
Les métadonnées utilisées par les applis en cours d'exécution sont montées sur le conteneur avec une autorisation en lecture seule. Les clients ne sont pas en mesure de modifier ces métadonnées à partir du conteneur. Pour connaître les métadonnées disponibles, consultez [Obtenez les métadonnées des blocs-notes et des applications Amazon SageMaker Studio Classic](notebooks-run-and-manage-metadata.md).
**Isolation d’utilisateur sur EFS**
Lorsque vous intégrez Studio, SageMaker AI crée un volume Amazon Elastic File System (EFS) pour votre domaine qui est partagé par tous les utilisateurs de Studio du domaine. Chaque utilisateur obtient son propre répertoire de base privé sur le volume EFS. Ce répertoire de base sert à stocker les blocs-notes, les référentiels Git et d’autres données de l’utilisateur. Pour empêcher les autres utilisateurs du domaine d'accéder aux données de l'utilisateur, SageMaker AI crée un ID utilisateur unique au monde pour le profil de l'utilisateur et l'applique en tant qu' user/group ID POSIX pour le répertoire personnel de l'utilisateur.
**Accès à EBS**
Un volume Amazon Elastic Block Store (Amazon EBS) est attaché à l'instance hôte et partagé sur toutes les images. Il est utilisé pour le volume racine des blocs-notes et stocke les données temporaires générées à l'intérieur du conteneur. Le stockage n'est pas conservé lorsque l'instance exécutant les blocs-notes est supprimée. L'utilisateur racine à l'intérieur du conteneur ne peut pas accéder au volume EBS.
**Accès à IMDS**
Pour des raisons de sécurité, l'accès au service de métadonnées d'instance (IMDS) Amazon Elastic Compute Cloud (Amazon EC2) n'est pas disponible dans Studio. SageMaker Pour plus d’informations sur IMDS, consultez [Métadonnées d’instance et données utilisateur](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).
# Contrôler l'accès root à une instance de SageMaker bloc-notes
Par défaut, lorsque vous créez une instance de bloc-notes, les utilisateurs qui se connectent à cette instance de bloc-notes disposent d’un accès racine. La science des données est un processus itératif qui peut exiger des scientifiques de données qu’ils testent et utilisent différents outils logiciels et packages, afin que de nombreux utilisateurs d’instances de bloc-notes aient besoin d’un accès racine pour pouvoir installer ces outils et ces packages. Étant donné que les utilisateurs avec un accès racine possèdent des droits d’administrateur, ils peuvent accéder à et modifier tous les fichiers des instances de bloc-notes lorsque l’accès racine est activé.
Si vous ne voulez pas que les utilisateurs bénéficient d’un accès racine à une instance de bloc-notes, lorsque vous appelez les opérations [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html), configurez le champ `RootAccess` sur `Disabled`. Vous pouvez également désactiver l'accès root pour les utilisateurs lorsque vous créez ou mettez à jour une instance de bloc-notes dans la console Amazon SageMaker AI. Pour plus d'informations, consultez [Création d'une instance Amazon SageMaker Notebook pour le didacticiel](gs-setup-working-env.md).
**Note**
Les configurations de cycle de vie requièrent un accès racine pour pouvoir configurer les instances de bloc-notes. C’est pourquoi les configurations de cycle de vie associées à l’instance de bloc-notes s’exécutent toujours avec un accès racine, même si vous avez désactivé l’accès racine pour les utilisateurs.
**Note**
Pour des raisons de sécurité, Rootless Docker est installé sur les instances de bloc-notes désactivées par la racine au lieu de Docker standard. Pour plus d’informations, consultez [Run the Docker daemon as a non-root user (Rootless mode)](https://docs.docker.com/engine/security/rootless/).
## Considérations sur la sécurité
Les scripts de configuration du cycle de vie s'exécutent avec un accès root et héritent de tous les privilèges du rôle d'exécution IAM de l'instance de bloc-notes. Toute personne (y compris les administrateurs) autorisée à créer ou à modifier des configurations de cycle de vie et à gérer des instances de blocs-notes peut exécuter du code avec les informations d'identification du rôle d'exécution. Veuillez donc suivre les meilleures pratiques ci-dessous.
Bonnes pratiques :
+ Restreindre l'accès administratif : accordez des autorisations de configuration du cycle de vie uniquement aux administrateurs de confiance qui comprennent les implications en matière de sécurité.
+ Appliquez le principe du moindre privilège : définissez les rôles d'exécution des instances de bloc-notes avec uniquement les autorisations minimales requises pour les charges de travail légitimes.
+ Activez la surveillance : consultez régulièrement CloudWatch les journaux pour vérifier les exécutions de configuration du cycle de vie dans le groupe `/aws/sagemaker/NotebookInstances` de journaux afin de détecter toute activité inattendue.
+ Mettre en œuvre le contrôle des modifications : établir des processus d'approbation pour les modifications de configuration du cycle de vie dans les environnements de production.
# Autorisations d'API Amazon SageMaker AI : référence sur les actions, les autorisations et les ressources
Lorsque vous configurez le contrôle d’accès et que vous écrivez une politique d’autorisations que vous pouvez attacher à une identité IAM (politique basée sur une identité), utilisez le tableau suivant comme référence. Le tableau répertorie chaque opération d'API Amazon SageMaker AI, les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action et la AWS ressource pour laquelle vous pouvez accorder les autorisations. Vous spécifiez les actions dans le champ `Action` de la politique ainsi que la valeur des ressources dans le champ `Resource` de la politique.
**Note**
À l’exception de l’API `ListTags`, les restrictions au niveau des ressources ne sont pas disponibles sur les appels `List-`. Tout utilisateur appelant une API `List-` verra toutes les ressources de ce type dans le compte.
Pour exprimer des conditions dans vos politiques Amazon SageMaker AI, vous pouvez utiliser des AWS clés de condition larges. Pour une liste complète des clés AWS-wide, consultez la section [Clés disponibles](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html#AvailableKeys) dans la *référence d'autorisation de service*.
**Avertissement**
Certaines actions de SageMaker l'API peuvent toujours être accessibles via le`[Search API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html)`. Par exemple, si une politique IAM refuse à un utilisateur l'autorisation d'`Describe`appeler une ressource SageMaker IA particulière, il peut toujours accéder aux informations de description via l'API de recherche. Pour restreindre totalement l’accès de l’utilisateur aux appels `Describe`, vous devez également restreindre l’accès à l’API Search. Pour obtenir la liste des ressources d' SageMaker IA accessibles via l'API de recherche, consultez la [référence des AWS CLI commandes de recherche SageMaker AI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/search.html#options).
Utilisez les barres de défilement pour voir le reste du tableau.
Opérations de l'API Amazon SageMaker AI et autorisations requises pour les actions
****
| Opérations de l'API Amazon SageMaker AI | Autorisations requises (Action d’API) | Ressources |
| --- | --- | --- |
| `[ DeleteEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:DeleteEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ DeleteVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteVectorEnrichmentJob.html)` | `sagemaker-geospatial:DeleteVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ExportEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportEarthObservationJob.html)` | `sagemaker-geospatial:ExportEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ ExportVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportVectorEnrichmentJob.html)` | `sagemaker-geospatial:ExportVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ GetEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetEarthObservationJob.html)` | `sagemaker-geospatial:GetEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:GetRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ GetTile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetTile.html)` | `sagemaker-geospatial:GetTile` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetVectorEnrichmentJob.html)` | `sagemaker-geospatial:GetVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListEarthObservationJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListEarthObservationJobs.html)` | `sagemaker-geospatial:ListEarthObservationJobs` | `*` |
| `[ ListRasterDataCollections](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListRasterDataCollections.html)` | `sagemaker-geospatial:ListRasterDataCollections` | `*` |
| `[ ListTagsForResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListTagsForResource.html)` | `sagemaker-geospatial:ListTagsForResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListVectorEnrichmentJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListVectorEnrichmentJobs.html)` | `sagemaker-geospatial:ListVectorEnrichmentJobs` | `*` |
| `[ SearchRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_SearchRasterDataCollection.html)` | `sagemaker-geospatial:SearchRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ StartEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartEarthObservationJob.html)` | `sagemaker-geospatial:StartEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StartVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartVectorEnrichmentJob.html)` | `sagemaker-geospatial:StartVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ StopEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopEarthObservationJob.html)` | `sagemaker-geospatial:StopEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StopVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopVectorEnrichmentJob.html)` | `sagemaker-geospatial:StopVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ TagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_TagResource.html)` | `sagemaker-geospatial:TagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ UntagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_UntagResource.html)` | `sagemaker-geospatial:UntagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)` | `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:*` |
| `[ CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)` | `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| `[ CreateAppImageConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAppImageConfig.html)` | `sagemaker:CreateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| `[ CreateAutoMLJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html)` | `sagemaker:CreateAutoMLJob` `iam:PassRole` L’autorisation suivante est obligatoire uniquement si l’un des `ResourceConfig` associés comporte un `VolumeKmsKeyId ` spécifié et le rôle associé n’a pas de politique qui autorise cette action : `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html) | `sagemaker:CreateAutoMLJobV2` `iam:PassRole` L’autorisation suivante est obligatoire uniquement si l’un des `ResourceConfig` associés comporte un `VolumeKmsKeyId ` spécifié et le rôle associé n’a pas de politique qui autorise cette action : `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| `[ CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)` | `sagemaker:CreateDomain` `iam:CreateServiceLinkedRole` `iam:PassRole` Obligatoire si une clé gérée par le client KMS est spécifiée pour `KmsKeyId` : `elasticfilesystem:CreateFileSystem` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKeyWithoutPlainText` Nécessaire pour créer un domaine prenant en charge RStudio : `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:domain/domain-id` |
| `[ CreateEndpoint](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpoint.html)` | `sagemaker:CreateEndpoint` `kms:CreateGrant` (obligatoire uniquement si l’`EndPointConfig` associé a un `KmsKeyId` spécifié) | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html) | `sagemaker:CreateEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html) | `sagemaker:CreateFlowDefinition` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html) | `sagemaker:CreateHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html) | `sagemaker:CreateInferenceRecommendationsJob` `iam:PassRole` Les autorisations suivantes sont requises uniquement si vous spécifiez une clé de chiffrement : `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` | `arn:aws:sagemaker:region:account-id:inference-recommendations-job/inferenceRecommendationsJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) | `sagemaker:CreateHyperParameterTuningJob` `iam:PassRole` L’autorisation suivante est obligatoire uniquement si l’un des `ResourceConfig` associés comporte un `VolumeKmsKeyId ` spécifié et le rôle associé n’a pas de politique qui autorise cette action : `kms:CreateGrant` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html) | `sagemaker:CreateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html) | `sagemaker:CreateImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html) | sagemaker : CreateLabelingJob iam : PassRole | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) | `sagemaker:CreateModel` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html) | `sagemaker:CreateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html) | `sagemaker:CreateModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) | `sagemaker:CreateNotebookInstance` `iam:PassRole` Les autorisations suivantes sont requises uniquement si vous spécifiez un VPC pour votre instance de bloc-notes : `ec2:CreateNetworkInterface` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Les autorisations suivantes sont requises uniquement si vous spécifiez une clé de chiffrement : `kms:DescribeKey` `kms:CreateGrant` L’autorisation suivante est requise uniquement si vous spécifiez un secret AWS Secrets Manager pour accéder à un référentiel Git privé : `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html) | `sagemaker:CreatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html) | `sagemaker:CreatePresignedDomainUrl` | `arn:aws:sagemaker:region:account-id:app/domain-id/userProfileName`/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) | `sagemaker:CreatePresignedNotebookInstanceUrl` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) | `sagemaker:CreateProcessingJob` `iam:PassRole` `kms:CreateGrant` (obligatoire uniquement si le `ProcessingResources` associé comporte un `VolumeKmsKeyId` spécifié et le rôle associé n’a pas de politique qui autorise cette action) `ec2:CreateNetworkInterface` (requis uniquement si vous spécifiez un VPC) | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| `[ CreateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateSpace.html)` | `sagemaker:CreateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html) | `sagemaker:CreateStudioLifecycleConfig` | `arn:aws:sagemaker:region:account-id:studio-lifecycle-config/.*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) | `sagemaker:CreateTrainingJob` `iam:PassRole` `kms:CreateGrant` (obligatoire uniquement si le `ResourceConfig` associé comporte un `VolumeKmsKeyId` spécifié et le rôle associé n’a pas de politique qui autorise cette action) | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html) | `sagemaker:CreateTrainingPlan` `sagemaker:CreateReservedCapacity` `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:training-plan/*"` `arn:aws:sagemaker:region:account-id:reserved-capacity/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html) | `sagemaker:CreateTransformJob` `kms:CreateGrant` (obligatoire uniquement si le `TransformResources` associé comporte un `VolumeKmsKeyId` spécifié et le rôle associé n'a pas de politique qui autorise cette action) | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) | `sagemaker:CreateUserProfile` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) | `sagemaker:CreateWorkforce` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | arn:aws:sagemaker:region:account-id:workforce/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html) | `sagemaker:CreateWorkteam` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/work team name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html) | `sagemaker:DeleteApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html) | `sagemaker:DeleteAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html) | `sagemaker:DeleteDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html) | `sagemaker:DeleteEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html) | `sagemaker:DeleteEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html) | `sagemaker:DeleteFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DeleteHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DeleteHumanLoop.html)` | `sagemaker:DeleteHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html) | `sagemaker:DeleteImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html) | `sagemaker:DeleteImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html) | `sagemaker:DeleteModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html) | `sagemaker:DeleteModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html) | `sagemaker:DeleteModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html) | `sagemaker:DeleteModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html) | `sagemaker:DeleteNotebookInstance` L’autorisation suivante est requise uniquement si vous avez spécifié un VPC pour votre instance de bloc-notes : `ec2:DeleteNetworkInterface` Les autorisations suivantes sont requises uniquement si vous avez spécifié une clé de chiffrement lors de la création de l’instance de bloc-notes : `kms:DescribeKey` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html) | `sagemaker:DeletePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[DeleteSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteSpace.html)` | `sagemaker:DeleteSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html) | `sagemaker:DeleteTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html) | `sagemaker:DeleteUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) | `sagemaker:DeleteWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html) | `sagemaker:DeleteWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html) | `sagemaker:DescribeApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html) | `sagemaker:DescribeAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html) | `sagemaker:DescribeAutoMLJob` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html) | `sagemaker:DescribeAutoMLJobV2` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html) | `sagemaker:DescribeDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html) | `sagemaker:DescribeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html) | `sagemaker:DescribeEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html) | `sagemaker:DescribeFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DescribeHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DescribeHumanLoop.html)` | `sagemaker:DescribeHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html) | `sagemaker:DescribeHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html) | `sagemaker:DescribeHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html) | `sagemaker:DescribeImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html) | `sagemaker:DescribeImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html) | `sagemaker:DescribeLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html) | `sagemaker:DescribeModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html) | `sagemaker:DescribeModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html) | `sagemaker:DescribeModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) | `sagemaker:DescribeNotebookInstance ` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html) | `sagemaker:DescribePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html) | `sagemaker:DescribePipelineDefinitionForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html) | `sagemaker:DescribePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html) | `sagemaker:DescribeProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingjobname` |
| `[DescribeSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSpace.html)` | `sagemaker:DescribeSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html) | `sagemaker:DescribeSubscribedWorkteam` `aws-marketplace:ViewSubscriptions` | `arn:aws:sagemaker:region:account-id:workteam/vendor-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html) | `sagemaker:DescribeTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html) | `sagemaker:DescribeTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html) | `sagemaker:DescribeUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) | `sagemaker:DescribeWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html) | `sagemaker:DescribeWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html) | `sagemaker:GetModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html) | `sagemaker:InvokeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html) | `sagemaker:ListAppImageConfigs` | `arn:aws:sagemaker:region:account-id:app-image-config/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html) | `sagemaker:ListApps` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html) | `sagemaker:ListDomains` | `arn:aws:sagemaker:region:account-id:domain/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html) | `sagemaker:ListEndpointConfigs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html) | `sagemaker:ListEndpoints` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html) | `sagemaker:ListFlowDefinitions` | `*` |
| `[ListHumanLoops](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_ListHumanLoops.html)` | `sagemaker:ListHumanLoops` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html) | `sagemaker:ListHumanTaskUis` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html) | `sagemaker:ListHyperParameterTuningJobs` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html) | `sagemaker:ListImages` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html) | `sagemaker:ListImageVersions` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html) | `sagemaker:ListLabelingJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html) | `sagemaker:ListLabelingJobForWorkteam` | `*` |
| `[ ListModelPackageGroups](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackageGroups.html)` | `sagemaker:ListModelPackageGroups` | `arn:aws:sagemaker:region:account-id :model-package-group/ModelPackageGroupName` |
| `[ ListModelPackages](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackages.html)` | `sagemaker:ListModelPackages` | `arn:aws:sagemaker:region:account-id :model-package/ModelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html) | `sagemaker:ListModels` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html) | `sagemaker:ListNotebookInstances` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html) | `sagemaker:ListPipelineExecutions` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html) | `sagemaker:ListPipelineExecutionSteps` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html) | `sagemaker:ListPipelineParametersForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html) | `sagemaker:ListPipelines` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html) | `sagemaker:ListProcessingJobs` | `*` |
| `[ListSpaces](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSpaces.html)` | `sagemaker:ListSpaces` | `arn:aws:sagemaker:region:account-id:space/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html) | `sagemaker:ListSubscribedWorkteams` `aws-marketplace:ViewSubscriptions` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html) | `sagemaker:ListTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html) | `sagemaker:ListTrainingJobs` | `*` |
| `[ ListTrainingJobsForHyperParameterTuningJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobsForHyperParameterTuningJob.html)` | `sagemaker:ListTrainingJobsForHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html) | `sagemaker:ListTransformJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html) | `sagemaker:ListUserProfiles` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html) | `sagemaker:ListWorkforces` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html) | `sagemaker:ListWorkteams` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html) | `sagemaker:PutModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html) | `sagemaker:RetryPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) | `sagemaker:Search` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html) | `sagemaker:SendPipelineExecutionStepFailure` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html) | `sagemaker:SendPipelineExecutionStepSuccess` | `*` |
| `[StartHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StartHumanLoop.html)` | `sagemaker:StartHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html) | `sagemaker:StartNotebookInstance` Les autorisations suivantes sont requises uniquement si vous avez spécifié un VPC lors de la création de votre instance de bloc-notes : `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Les autorisations suivantes sont requises uniquement si vous avez spécifié une clé de chiffrement lors de la création de l’instance de bloc-notes : `kms:DescribeKey` `kms:CreateGrant` L’autorisation suivante est requise uniquement si vous avez spécifié un secret AWS Secrets Manager pour accéder à un référentiel Git privé lors de la création de l’instance de bloc-notes : `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html) | `sagemaker:StartPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[StopHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StopHumanLoop.html)` | `sagemaker:StopHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html) | `sagemaker:StopHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html) | `sagemaker:StopLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html) | `sagemaker:StopNotebookInstance` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html) | `sagemaker:StopPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html) | `sagemaker:StopProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html) | `sagemaker:StopTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html) | `sagemaker:StopTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html) | `sagemaker:UpdateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) | `sagemaker:UpdateDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html) | `sagemaker:UpdateEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html) | `sagemaker:UpdateEndpointWeightsAndCapacities` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) | `sagemaker:UpdateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html) | `sagemaker:UpdateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html) | `sagemaker:UpdateNotebookInstance` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html) | `sagemaker:UpdatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html) | `sagemaker:UpdatePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| `[UpdateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateSpace.html)` | `sagemaker:UpdateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html) | `sagemaker:UpdateUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) | `sagemaker:UpdateWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) | `sagemaker:UpdateWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
# AWS politiques gérées pour Amazon SageMaker AI
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonction est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique `ReadOnlyAccess` AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
**Important**
Nous vous recommandons d’utiliser la politique la plus restreinte qui vous permet d’effectuer votre cas d’utilisation.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à Amazon SageMaker AI :
+ **`AmazonSageMakerFullAccess`**— Accorde un accès complet à Amazon SageMaker AI et aux ressources géospatiales de l' SageMaker IA ainsi qu'aux opérations prises en charge. Cela ne fournit pas un accès illimité à Amazon S3, mais prend en charge les compartimentset les objets avec des balises `sagemaker` spécifiques. Cette politique permet de transmettre tous les rôles IAM à Amazon SageMaker AI, mais uniquement les rôles IAM contenant AmazonSageMaker « » à être transmis aux services AWS Glue AWS Step Functions, et AWS RoboMaker .
+ **`AmazonSageMakerReadOnly`**— Accorde un accès en lecture seule aux ressources Amazon SageMaker AI.
Les politiques AWS gérées suivantes peuvent être associées aux utilisateurs de votre compte, mais elles ne sont pas recommandées :
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) : accorde toutes les actions pour l'ensemble des services AWS et des ressources du compte.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist) : accorde une large gamme d'autorisations pour couvrir la plupart des cas d'utilisation (principalement à des fins d'analytique et de business intelligence (BI)) rencontrés par les scientifiques des données.
Vous pouvez consulter ces politiques d’autorisations en vous connectant à la console IAM et en les recherchant.
Vous pouvez également créer vos propres politiques IAM personnalisées pour autoriser les actions et les ressources Amazon SageMaker AI selon vos besoins. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui les nécessitent.
**Topics**
+ [AWS politique gérée : AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS politique gérée : AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS politiques gérées pour Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS politiques gérées pour Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS politiques gérées pour Amazon SageMaker Geospatial](security-iam-awsmanpol-geospatial.md)
+ [AWS Politiques gérées pour Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS politiques gérées pour Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Politiques gérées pour la gouvernance des modèles d' SageMaker IA](security-iam-awsmanpol-governance.md)
+ [AWS Politiques gérées pour le registre des modèles](security-iam-awsmanpol-model-registry.md)
+ [AWS Politiques gérées pour les SageMaker ordinateurs portables](security-iam-awsmanpol-notebooks.md)
+ [AWS politiques gérées pour les applications Amazon SageMaker Partner AI](security-iam-awsmanpol-partner-apps.md)
+ [AWS Politiques gérées pour les SageMaker pipelines](security-iam-awsmanpol-pipelines.md)
+ [AWS politiques gérées pour les plans SageMaker de formation](security-iam-awsmanpol-training-plan.md)
+ [AWS Politiques gérées pour les SageMaker projets et JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker Mises à jour des politiques AWS gérées par l'IA](#security-iam-awsmanpol-updates)
## AWS politique gérée : AmazonSageMakerFullAccess
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les ressources et opérations géospatiales Amazon SageMaker SageMaker AI et AI. La politique fournit également un accès sélectif aux services connexes. Cette politique permet de transmettre tous les rôles IAM à Amazon SageMaker AI, mais uniquement les rôles IAM contenant AmazonSageMaker « » à être transmis aux services AWS Glue AWS Step Functions, et AWS RoboMaker . Cette politique n'inclut pas les autorisations permettant de créer un domaine Amazon SageMaker AI. Pour plus d’informations sur la politique nécessaire à la création d’un domaine, consultez [Compléter les prérequis SageMaker relatifs à Amazon AI](gs-set-up.md).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `application-autoscaling`— Permet aux principaux de dimensionner automatiquement un point de terminaison d'inférence en temps réel basé sur l' SageMaker IA.
+ `athena`— Permet aux principaux d'interroger une liste de catalogues de données, de bases de données et de métadonnées de tables à partir de celles-ci. Amazon Athena
+ `aws-marketplace`— Permet aux clients principaux de consulter les abonnements à AWS AI Marketplace. Vous en avez besoin si vous souhaitez accéder à un logiciel d' SageMaker IA auquel vous êtes abonné AWS Marketplace.
+ `cloudformation`— Permet aux directeurs d'obtenir des AWS CloudFormation modèles pour utiliser les JumpStart solutions d' SageMaker IA et les pipelines. SageMaker L'IA JumpStart crée les ressources nécessaires pour exécuter des solutions d'apprentissage end-to-end automatique qui relient l' SageMaker IA à d'autres AWS services. SageMaker AI Pipelines crée de nouveaux projets soutenus par Service Catalog.
+ `cloudwatch`— Permet aux directeurs de publier des CloudWatch statistiques, d'interagir avec les alarmes et de télécharger des journaux dans les CloudWatch journaux de votre compte.
+ `codebuild`— Permet aux directeurs de stocker des AWS CodeBuild artefacts pour le pipeline et les projets d' SageMaker IA.
+ `codecommit`— Nécessaire pour AWS CodeCommit l'intégration avec les instances de blocs-notes SageMaker AI.
+ `cognito-idp`— Nécessaire à Amazon SageMaker Ground Truth pour définir la main-d'œuvre privée et les équipes de travail.
+ `ec2`— Nécessaire à l' SageMaker IA pour gérer les ressources et les interfaces réseau Amazon EC2 lorsque vous spécifiez un Amazon VPC pour vos tâches, modèles, points de terminaison et instances de bloc-notes d' SageMaker IA.
+ `ecr`— Nécessaire pour extraire et stocker des artefacts Docker pour Amazon SageMaker Studio Classic (images personnalisées), la formation, le traitement, l'inférence par lots et les points de terminaison d'inférence. Cela est également nécessaire pour utiliser votre propre conteneur dans SageMaker AI. Des autorisations supplémentaires pour les JumpStart solutions d' SageMaker intelligence artificielle sont nécessaires pour créer et supprimer des images personnalisées au nom des utilisateurs.
+ `elasticfilesystem` : permet aux mandataires d’accéder à Amazon Elastic File System. Cela est nécessaire pour que l' SageMaker IA puisse utiliser les sources de données d'Amazon Elastic File System pour entraîner des modèles de machine learning.
+ `fsx`— Permet aux directeurs d'accéder à Amazon FSx. Cela est nécessaire pour que l' SageMaker IA puisse utiliser les sources de données d'Amazon FSx pour entraîner des modèles d'apprentissage automatique.
+ `glue`— Nécessaire pour le prétraitement du pipeline d'inférence à partir d'instances de blocs-notes SageMaker AI.
+ `groundtruthlabeling` : nécessaire pour les tâches d’étiquetage Ground Truth. Le point de terminaison `groundtruthlabeling` est accessible par la console Ground Truth.
+ `iam`— Nécessaire pour permettre à la console SageMaker AI d'accéder aux rôles IAM disponibles et créer des rôles liés aux services.
+ `kms`— Nécessaire pour donner à la console SageMaker AI accès aux AWS KMS clés disponibles et les récupérer pour tous les AWS KMS alias spécifiés dans les tâches et les points de terminaison.
+ `lambda` : permet aux mandataires d’invoquer et d’obtenir une liste de fonctions AWS Lambda .
+ `logs`— Nécessaire pour permettre aux tâches et aux terminaux d' SageMaker IA de publier des flux de journaux.
+ `redshift` : permet aux mandataires d’accéder aux informations d’identification du cluster Amazon Redshift.
+ `redshift-data` – Permet aux mandataires d'utiliser les données d'Amazon Redshift pour exécuter, décrire et annuler des instructions, obtenir les résultats d'instructions et répertorier les schémas et les tables.
+ `robomaker`— Permet aux principaux d'avoir un accès complet pour créer, obtenir des descriptions et supprimer des applications et des tâches de AWS RoboMaker simulation. Ceci est également nécessaire pour exécuter des exemples d’apprentissage par renforcement sur des instances de bloc-notes.
+ `s3, s3express`— Permet aux principaux d'avoir un accès complet aux ressources Amazon S3 et Amazon S3 Express relatives à l' SageMaker IA, mais pas à la totalité d'Amazon S3 ou Amazon S3 Express.
+ `sagemaker`— Permet aux principaux de répertorier les balises sur les profils utilisateurs de l' SageMaker IA et d'ajouter des balises aux applications et aux espaces d' SageMaker IA. Permet d'accéder uniquement aux définitions des flux d' SageMaker IA de Sagemaker : WorkteamType « private-crowd » ou « vendor-crowd ». Permet l'utilisation et la description des plans de formation liés à l' SageMaker IA et des capacités réservées dans les postes de SageMaker formation et les SageMaker HyperPod clusters, dans toutes les AWS régions où la fonctionnalité des plans de formation est accessible.
+ `sagemaker`et `sagemaker-geospatial` — Permet aux principaux d'accéder en lecture seule aux domaines SageMaker AI et aux profils d'utilisateurs.
+ `secretsmanager` : permet aux mandataires d’avoir un accès complet à AWS Secrets Manager. Les mandataires peuvent chiffrer, stocker et récupérer en toute sécurité des informations d’identification pour les bases de données et d’autres services. Cela est également nécessaire pour les instances de blocs-notes SageMaker SageMaker AI avec des référentiels de code AI qui les utilisent GitHub.
+ `servicecatalog` : permet aux principaux d’utiliser Service Catalog. Les principaux peuvent créer, obtenir une liste, mettre à jour ou résilier des produits provisionnés, tels que des serveurs, des bases de données, des sites Web ou des applications déployées à l'aide AWS de ressources. Cela est nécessaire pour que l' SageMaker IA JumpStart et les projets puissent trouver et lire les produits du catalogue de services et lancer AWS des ressources auprès des utilisateurs.
+ `sns` : permet aux mandataires d’obtenir une liste de rubriques Amazon SNS. Nécessaire pour les points de terminaison dont l’inférence asynchrone est activée pour informer les utilisateurs que leur inférence est terminée.
+ `states`— Nécessaire à SageMaker l'IA JumpStart et aux pipelines pour utiliser un catalogue de services pour créer des ressources de fonctions par étapes.
+ `tag`— Nécessaire au rendu de SageMaker AI Pipelines dans Studio Classic. Studio Classic a besoin de ressources balisées avec une clé-balise `sagemaker:project-id` particulière. Cela nécessite l’autorisation `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerReadOnly
Cette politique accorde un accès en lecture seule à Amazon SageMaker AI via le SDK AWS Management Console and.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `application-autoscaling`— Permet aux utilisateurs de parcourir les descriptions des points de terminaison d'inférence en temps réel évolutifs de l' SageMaker IA.
+ `aws-marketplace`— Permet aux utilisateurs de consulter les abonnements à AWS AI Marketplace.
+ `cloudwatch`— Permet aux utilisateurs de recevoir des CloudWatch alarmes.
+ `cognito-idp`— Nécessaire à Amazon SageMaker Ground Truth pour parcourir les descriptions et les listes des employés du secteur privé et des équipes de travail.
+ `ecr` : nécessaire pour lire les artefacts Docker d’entraînement et d’inférence.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS politiques gérées pour Amazon SageMaker Canvas
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Amazon SageMaker Canvas. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS politique gérée : AmazonSageMakerCanvas AIServices Accès](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS politique gérée : AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS politique gérée : AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS politique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS politique gérée : AmazonSageMakerCanvas SMData ScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Canvas](#security-iam-awsmanpol-canvas-updates)
## AWS politique gérée : AmazonSageMakerCanvasFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à Amazon SageMaker Canvas via le SDK AWS Management Console and. La politique fournit également un accès restreint aux services connexes [par exemple, Amazon Simple Storage Service (Amazon S3), (IAM) Gestion des identités et des accès AWS , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry, Amazon [ AWS Secrets Manager Amazon Forecast SageMaker ]. SageMaker
Cette politique vise à aider les clients à expérimenter et à démarrer avec toutes les fonctionnalités de SageMaker Canvas. Pour un contrôle plus précis, nous suggérons aux clients de créer leurs propres versions délimitées lorsqu'ils passent aux charges de travail de production. Pour plus d'informations, consultez [Types de politiques IAM : comment et quand les utiliser](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/) (langue française non garantie).
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker`— Permet aux directeurs de créer et d'héberger des modèles d' SageMaker IA sur des ressources dont l'ARN contient « Canvas », « canvas » ou « model-compilation- ». De plus, les utilisateurs peuvent enregistrer leur modèle SageMaker Canvas dans SageMaker AI Model Registry sur le même AWS compte. Permet également aux directeurs de créer et de gérer des tâches de SageMaker formation, de transformation et d'AutoML.
+ `application-autoscaling`— Permet aux principaux de redimensionner automatiquement un point de terminaison d'inférence SageMaker basé sur l'IA.
+ `athena` : autorise les principaux à interroger une liste de catalogues de données, de bases de données et de métadonnées de table à partir d’Amazon Athena, et à accéder aux tables dans les catalogues.
+ `cloudwatch`— Permet aux directeurs de créer et de gérer les CloudWatch alarmes Amazon.
+ `ec2` : autorise les principaux à créer des points de terminaison Amazon VPC.
+ `ecr` : autorise les principaux à obtenir des informations sur une image de conteneur.
+ `emr-serverless` : autorise les principaux à créer et à gérer des applications et des exécutions de tâches Amazon EMR sans serveur. Permet également aux principaux de baliser les ressources SageMaker Canvas.
+ `forecast` : autorise les principaux à utiliser Amazon Forecast.
+ `glue`— Permet aux principaux de récupérer les tables, les bases de données et les partitions du AWS Glue catalogue.
+ `iam`— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker AI, Amazon Forecast et Amazon EMR Serverless. Autorise également les principaux à créer un rôle lié à un service.
+ `kms`— Permet aux principaux de lire une AWS KMS clé étiquetée avec`Source:SageMakerCanvas`.
+ `logs` : autorise les principaux à publier des journaux à partir des tâches d’entraînement et des points de terminaison.
+ `quicksight`— Permet aux principaux de répertorier les espaces de noms dans le compte Quick.
+ `rds` : permet aux principaux de renvoyer des informations sur les instances Amazon RDS provisionnées.
+ `redshift` : permet aux principaux d’obtenir les informations d’identification d’un utilisateur dbuser « sagemaker\$1access\$1 » sur n’importe quel cluster Amazon Redshift si cet utilisateur existe.
+ `redshift-data` : permet aux principaux d'exécuter des requêtes sur Amazon Redshift à l'aide de l'API de données Amazon Redshift. Cela donne uniquement accès aux données Redshift APIs elles-mêmes et ne donne pas directement accès à vos clusters Amazon Redshift. Pour plus d’informations, consultez la section [Utilisation de l’API de données Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut SageMaker « », « Sagemaker » ou « Sagemaker ». Permet également aux principaux de récupérer des objets dans des compartiments Amazon S3 dont l'ARN commence par « jumpstart-cache-prod - » dans des régions spécifiques.
+ `secretsmanager` : autorise les principaux à stocker les informations d’identification des clients pour se connecter à une base de données Snowflake à l’aide de Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à la fonctionnalité de préparation des données d'Amazon SageMaker Canvas. La politique prévoit également des autorisations de moindre privilège pour les services intégrés à la fonctionnalité de préparation des données [par exemple, Amazon Simple Storage Service (Amazon S3) Gestion des identités et des accès AWS , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () et]. AWS Key Management Service AWS KMS AWS Secrets Manager
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker` : autorise les principaux à accéder aux tâches de traitement, aux tâches d’entraînement, aux pipelines d’inférence, aux tâches AutoML et aux groupes de caractéristiques.
+ `athena` : autorise les principaux à interroger une liste de catalogues de données, de bases de données et de métadonnées de table à partir d’Amazon Athena.
+ `elasticmapreduce` : autorise les principaux à lire et à répertorier les clusters Amazon EMR.
+ `emr-serverless` : autorise les principaux à créer et à gérer des applications et des exécutions de tâches Amazon EMR sans serveur. Permet également aux principaux de baliser les ressources SageMaker Canvas.
+ `events`— Permet aux directeurs de créer, de lire, de mettre à jour et d'ajouter des cibles aux EventBridge règles Amazon pour les tâches planifiées.
+ `glue`— Permet aux principaux d'obtenir et de rechercher des tables dans les bases de données du AWS Glue catalogue.
+ `iam`— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker AI et à Amazon EMR Serverless. EventBridge Autorise également les principaux à créer un rôle lié à un service.
+ `kms`— Permet aux principaux de récupérer les AWS KMS alias stockés dans les tâches et les points de terminaison, et d'accéder à la clé KMS associée.
+ `logs` : autorise les principaux à publier des journaux à partir des tâches d’entraînement et des points de terminaison.
+ `redshift` : autorise les principaux à obtenir les informations d’identification pour accéder à une base de données Amazon Redshift.
+ `redshift-data` : autorise les principaux à exécuter, à annuler, à décrire, à répertorier et à obtenir les résultats des requêtes Amazon Redshift. Autorise également les principaux à répertorier les schémas et les tables Amazon Redshift.
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « », SageMaker « Sagemaker » ou « Sagemaker » ; ou ceux marqués d'un « », sans distinction SageMaker majuscules/minuscules.
+ `secretsmanager` : autorise les principaux à stocker et à extraire les informations d’identification de base de données client à l’aide de Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
Cette politique accorde les autorisations nécessaires à Amazon SageMaker Canvas pour créer et gérer les points de terminaison Amazon SageMaker AI.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker`— Permet aux principaux de créer et de gérer des points de terminaison d' SageMaker IA avec un nom de ressource ARN commençant par « Canvas » ou « Canvas ».
+ `cloudwatch`— Permet aux principaux de récupérer les données CloudWatch métriques d'Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerCanvas AIServices Accès
Cette politique autorise Amazon SageMaker Canvas à utiliser Amazon Textract, Amazon Rekognition, Amazon Comprehend et Amazon Bedrock.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `textract` : permet aux principaux d'utiliser Amazon Textract pour détecter des documents, des dépenses et des identités dans une image.
+ `rekognition` : permet aux principaux d'utiliser Amazon Rekognition pour détecter des étiquettes et du texte dans une image.
+ `comprehend` : permet aux principaux d'utiliser Amazon Comprehend pour détecter les sentiments et la langue dominante, ainsi que les entités nommées et de données d'identification personnelle (PII) dans un document texte.
+ `bedrock` : permet aux principaux d’utiliser Amazon Bedrock pour répertorier et invoquer des modèles de fondation.
+ `iam` : autorise les principaux à transmettre un rôle IAM à Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS politique gérée : AmazonSageMakerCanvasBedrockAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Bedrock.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : autorise les principaux à ajouter et à récupérer des objets à partir de compartiments Amazon S3 dans le répertoire « sagemaker-\$1/Canvas ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerCanvasForecastAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Forecast.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom commence par « sagemaker- ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Cette politique accorde des autorisations à Amazon EMR Serverless pour les AWS services, tels qu'Amazon S3, utilisés par Amazon SageMaker Canvas pour le traitement de données volumineuses.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « » SageMaker ou « sagemaker » ; ou ceux marqués d'un SageMaker « », sans distinction majuscules/majuscules.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerCanvas SMData ScienceAssistantAccess
Cette politique autorise les utilisateurs d'Amazon SageMaker Canvas à entamer des conversations avec Amazon Q Developer. Cette fonctionnalité nécessite des autorisations à la fois pour Amazon Q Developer et pour le service SageMaker AI Data Science Assistant.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `q` : autorise les principaux à envoyer des invites à Amazon Q Developer.
+ `sagemaker-data-science-assistant`— Permet aux directeurs d'envoyer des instructions au service SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Canvas
Consultez les détails des mises à jour des politiques AWS gérées pour SageMaker Canvas depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) : mise à jour d’une stratégie existante | 2 | Ajouter l’autorisation `q:StartConversation`. | 14 janvier 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) : nouvelle politique | 1 | Politique initiale | 4 décembre 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) : mise à jour d’une stratégie existante | 4 | Ajout d’une ressource à l’autorisation `IAMPassOperationForEMRServerless`. | 16 août 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) : mise à jour d’une stratégie existante | 11 | Ajout d’une ressource à l’autorisation `IAMPassOperationForEMRServerless`. | 15 août 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy) : nouvelle politique | 1 | Politique initiale | 26 juillet 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d’une stratégie existante | 3 | Ajout des autorisations `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` et `emr-serverless:TagResource`. | 18 juillet 2024 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 10 | Ajout des autorisations `application-autoscaling:DescribeScalingActivities`, `iam:PassRole`, `kms:DescribeKey` et `quicksight:ListNamespaces`. Ajout des autorisations `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` et `sagemaker:StopTransformJob`. Ajoutez les autorisations `athena:ListTableMetadata`, `athena:ListDataCatalogs` et `athena:ListDatabases`. Ajoutez les autorisations `glue:GetDatabases`, `glue:GetPartitions` et `glue:GetTables`. Ajout des autorisations `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` et `emr-serverless:TagResource`. | 9 juillet 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess) : nouvelle politique | 1 | Politique initiale | 2 février 2024 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 9 | Ajouter l’autorisation `sagemaker:ListEndpoints`. | 24 janvier 2024 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 8 | Ajout des autorisations `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` et `iam:CreateServiceLinkedRole`. | 8 décembre 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d’une stratégie existante | 2 | Petite mise à jour pour appliquer les intentions de la politique précédente, version 1 ; aucune autorisation ajoutée ni supprimée. | 7 décembre 2023 |
| [AmazonSageMakerCanvasAIServicesAccès](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) : mise à jour d’une stratégie existante | 3 | Ajout des autorisations `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` et `iam:PassRole`. | 29 novembre 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Nouvelle politique | 1 | Politique initiale | 26 octobre 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess) : nouvelle politique | 1 | Politique initiale | 6 octobre 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 7 | Ajoutez les autorisations `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel` et `sagemaker:InvokeEndpoint`. Ajoutez également des `s3:GetObject` autorisations pour les JumpStart ressources dans des régions spécifiques. | 29 septembre 2023 |
| AmazonSageMakerCanvasAIServicesAccès - Mise à jour d'une politique existante | 2 | Ajoutez les autorisations `bedrock:InvokeModel` et `bedrock:ListFoundationModels`. | 29 septembre 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 6 | Ajouter l’autorisation `rds:DescribeDBInstances`. | 29 août 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 5 | Ajoutez les autorisations `application-autoscaling:PutScalingPolicy` et `application-autoscaling:RegisterScalableTarget`. | 24 juillet 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 4 | Ajoutez les autorisations `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages` et `sagemaker:ListModelPackageGroups`. | 4 mai 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 3 | Ajoutez les autorisations `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` et `glue:SearchTables`. | 24 mars 2023 |
| AmazonSageMakerCanvasAIServicesAccès - Nouvelle politique | 1 | Politique initiale | 23 mars 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 2 | Ajouter l'autorisation `forecast:DeleteResourceTree`. | 6 décembre 2022 |
| AmazonSageMakerCanvasFullAccess - Nouvelle politique | 1 | Politique initiale | 8 septembre 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess) : nouvelle politique | 1 | Politique initiale | 24 août 2022 |
# AWS politiques gérées pour Amazon SageMaker Feature Store
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Feature Store. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Feature Store](#security-iam-awsmanpol-feature-store-updates)
## AWS politique gérée : AmazonSageMakerFeatureStoreAccess
Cette politique accorde les autorisations requises pour activer la boutique hors ligne pour un groupe de SageMaker fonctionnalités Amazon Feature Store.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : permet aux principaux d'écrire des données dans un compartiment Amazon S3 du magasin hors ligne. Ces seaux sont limités à ceux dont le nom inclut SageMaker « », « Sagemaker » ou « Sagemaker ».
+ `s3` : permet aux principaux de lire les fichiers manifestes existants conservés dans le dossier `metadata` d'un compartiment S3 de stockage hors ligne.
+ `glue`— Permet aux directeurs de lire et de mettre à jour les tables AWS Glue. Ces autorisations sont limitées aux tables du dossier `sagemaker_featurestore`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Feature Store
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour Feature Store depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) : mise à jour d’une stratégie existante | 3 | Ajoutez les autorisations `s3:GetObject`, `glue:GetTable` et `glue:UpdateTable`. | 5 décembre 2022 |
| AmazonSageMakerFeatureStoreAccess - Mise à jour d'une politique existante | 2 | Ajouter l'autorisation `s3:PutObjectAcl`. | 23 février 2021 |
| AmazonSageMakerFeatureStoreAccess - Nouvelle politique | 1 | Politique initiale | 1er décembre 2020 |
# AWS politiques gérées pour Amazon SageMaker Geospatial
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser la SageMaker géospatiale. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS politique gérée : AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Geospatial](#security-iam-awsmanpol-geospatial-updates)
## AWS politique gérée : AmazonSageMakerGeospatialFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à Amazon SageMaker Geospatial via le SDK AWS Management Console and.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker-geospatial`— Permet aux principaux un accès complet à toutes les ressources SageMaker géospatiales.
+ `iam`— Permet aux principaux de transmettre un rôle IAM à SageMaker Geospatial.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerGeospatialExecutionRole
Cette politique accorde les autorisations généralement nécessaires pour utiliser la SageMaker géospatiale.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom contient SageMaker « », « Sagemaker » ou « Sagemaker ».
+ `sagemaker-geospatial` : permet aux principaux d’accéder aux tâches d’observation de la Terre via l’API `GetEarthObservationJob`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Geospatial
Consultez les détails des mises à jour des politiques AWS gérées pour le SageMaker géospatial depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole) : politique mise à jour | 2 | Ajouter l’autorisation `sagemaker-geospatial:GetRasterDataCollection`. | 10 mai 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess) : nouvelle politique | 1 | Politique initiale | 30 novembre 2022 |
| AmazonSageMakerGeospatialExecutionRole - Nouvelle politique | 1 | Politique initiale | 30 novembre 2022 |
# AWS Politiques gérées pour Amazon SageMaker Ground Truth
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser SageMaker AI Ground Truth. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Ground Truth](#security-iam-awsmanpol-groundtruth-updates)
## AWS politique gérée : AmazonSageMakerGroundTruthExecution
Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser SageMaker AI Ground Truth.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `lambda`— Permet aux principaux d'invoquer des fonctions Lambda dont le nom inclut « sagemaker » (sans distinction majuscules et minuscules), « » ou GtRecipe « ». LabelingFunction
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom ne distingue pas les majuscules et minuscules contient « groundtruth » ou « sagemaker », ou qui sont marqués d'un « ». SageMaker
+ `cloudwatch`— Permet aux directeurs de publier des CloudWatch métriques.
+ `logs` : permet aux principaux de créer des flux de journaux et d'y accéder, et de publier des événements de journal.
+ `sqs` : permet aux principaux de créer des files d'attente Amazon SQS, et d'envoyer et de recevoir des messages Amazon SQS. Ces autorisations sont limitées aux files d'attente dont le nom inclut « GroundTruth ».
+ `sns` : permet aux principaux de s’abonner à des rubriques et de publier des messages dans des rubriques Amazon SNS dont le nom insensible à la casse contient « groundtruth » ou « sagemaker ».
+ `ec2`— Permet aux principaux de créer, de décrire et de supprimer des points de terminaison Amazon VPC dont le nom de service de point de terminaison VPC sagemaker-task-resources contient « » ou « étiquetage ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Ground Truth
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI Ground Truth depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) : mise à jour d’une stratégie existante | 3 | Ajoutez les autorisations `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` et `ec2:DeleteVpcEndpoints`. | 29 avril 2022 |
| AmazonSageMakerGroundTruthExecution - Mise à jour d'une politique existante | 2 | Supprime l’autorisation `sqs:SendMessageBatch`. | 11 avril 2022 |
| AmazonSageMakerGroundTruthExecution - Nouvelle politique | 1 | Politique initiale | 20 juillet 2020 |
# AWS politiques gérées pour Amazon SageMaker HyperPod
Les politiques AWS gérées suivantes ajoutent les autorisations requises pour utiliser Amazon SageMaker HyperPod. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI ou du rôle HyperPod lié à un service.
**Topics**
+ [AWS politique gérée : AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS politique gérée : AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS politique gérée : AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS politique gérée : AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Amazon SageMaker AI met à jour les politiques SageMaker HyperPod gérées](#security-iam-awsmanpol-hyperpod-updates)
# AWS politique gérée : AmazonSageMakerHyperPodTrainingOperatorAccess
Cette politique fournit les autorisations administratives requises pour configurer l'opérateur SageMaker HyperPod de formation. Il permet d'accéder aux modules complémentaires Amazon EKS SageMaker HyperPod et à ceux-ci. La politique inclut des autorisations permettant de décrire les SageMaker HyperPod ressources de votre compte.
**Détails de l'autorisation**
Cette politique inclut les autorisations suivantes :
+ `sagemaker:DescribeClusterNode`- Permet aux utilisateurs de renvoyer des informations sur un HyperPod cluster.
Pour consulter les autorisations associées à cette politique, reportez-vous [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)à la référence des politiques AWS gérées.
# AWS politique gérée : AmazonSageMakerHyperPodObservabilityAdminAccess
Cette politique fournit les privilèges administratifs requis pour configurer l' SageMaker HyperPodobservabilité d'Amazon. Elle permet l’accès aux modules complémentaires Service géré Amazon pour Prometheus, Amazon Managed Grafana et Amazon Elastic Kubernetes Service. La politique inclut également un accès étendu à Grafana HTTP APIs via ServiceAccountTokens tous les espaces de travail Grafana gérés par Amazon sur votre compte.
**Détails de l’autorisation**
La liste suivante fournit une vue d’ensemble des autorisations incluses dans cette politique.
+ `prometheus` : permet de créer et de gérer des espaces de travail et des groupes de règles Service géré Amazon pour Prometheus.
+ `grafana` : permet de créer et de gérer les espaces de travail et les comptes de service Amazon Managed Grafana.
+ `eks` : permet de créer et de gérer le module complémentaire `amazon-sagemaker-hyperpod-observability` Amazon EKS.
+ `iam` : permet de transmettre les rôles de service IAM spécifiques à Amazon Managed Grafana et Amazon EKS.
+ `sagemaker`— Répertorie et décrit les SageMaker HyperPod clusters
+ `sso` : permet de créer et de gérer les instances d’application IAM Identity Center pour la configuration d’Amazon Managed Grafana.
+ `tag` : permet de baliser les ressources des modules complémentaires Service géré Amazon pour Prometheus, Amazon Managed Grafana et Amazon EKS.
Pour consulter le JSON de la politique, consultez [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS politique gérée : AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod crée et utilise le rôle lié au service dont le nom est `AWSServiceRoleForSageMakerHyperPod` `AmazonSageMakerHyperPodServiceRolePolicy` associé au rôle. Cette politique accorde à Amazon SageMaker HyperPod des autorisations pour les AWS services connexes tels qu'Amazon EKS et Amazon CloudWatch.
Le rôle lié au service facilite la configuration SageMaker HyperPod car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. SageMaker HyperPod définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul SageMaker HyperPod peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos SageMaker HyperPod ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
`AmazonSageMakerHyperPodServiceRolePolicy`Permet d' SageMaker HyperPod effectuer les actions suivantes sur les ressources spécifiées en votre nom.
**Détails de l’autorisation**
Cette politique de rôle lié à un service comprend les autorisations suivantes.
+ `eks` : autorise les principaux à lire les informations du cluster Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Permet aux principaux de publier les flux de CloudWatch journaux Amazon sur. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour SageMaker HyperPod
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un SageMaker HyperPod cluster à l'aide de la console SageMaker AI, le AWS CLI, ou le AWS SDKs, SageMaker HyperPod crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service mais que vous devez le créer à nouveau, vous pouvez utiliser le même processus (créer un nouveau SageMaker HyperPod cluster) pour recréer le rôle dans votre compte.
## Modification d'un rôle lié à un service pour SageMaker HyperPod
SageMaker HyperPod ne vous permet pas de modifier le rôle `AWSServiceRoleForSageMakerHyperPod` lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour SageMaker HyperPod
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Pour supprimer les ressources SageMaker HyperPod du cluster à l'aide du rôle lié à un service**
Utilisez l'une des options suivantes pour supprimer les ressources SageMaker HyperPod du cluster.
+ [Supprimer un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) à l'aide de la console SageMaker AI
+ [Supprimer un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) à l'aide du AWS CLI
**Note**
Si le SageMaker HyperPod service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSageMakerHyperPod` service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles SageMaker HyperPod liés à un service
SageMaker HyperPod prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez la section [Conditions préalables pour SageMaker HyperPod](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html).
# AWS politique gérée : AmazonSageMakerClusterInstanceRolePolicy
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker HyperPod.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `cloudwatch`— Permet aux principaux de publier les CloudWatch statistiques Amazon.
+ `logs`— Permet aux principaux de publier des flux de CloudWatch journaux.
+ `s3` : autorise les principaux à répertorier et à extraire les fichiers de script de cycle de vie à partir d’un compartiment Amazon S3 de votre compte. Ces compartiments sont limités à ceux dont le nom commence par « sagemaker- ».
+ `ssmmessages` : autorise les principaux à ouvrir une connexion à AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques SageMaker HyperPod gérées
Consultez les détails des mises à jour des politiques AWS gérées SageMaker HyperPod depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) : nouvelle politique | 1 | Politique initiale | 22 août 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) : politique mise à jour | 2 | Mise à jour de la politique pour corriger la réduction de la portée du rôle afin d’inclure le préfixe `service-role`. Des autorisations ont également été ajoutées pour `eks:DeletePodIdentityAssociation` et `eks:UpdatePodIdentityAssociation` qui sont requises pour les actions end-to-end administratives. | 19 août 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) : nouvelle politique | 1 | Politique initiale | 10 juillet 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) : nouvelle politique | 1 | Politique initiale | 9 septembre 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) : nouvelle politique | 1 | Politique initiale | 29 novembre 2023 |
# AWS Politiques gérées pour la gouvernance des modèles d' SageMaker IA
Cette politique AWS gérée ajoute les autorisations requises pour utiliser SageMaker AI Model Governance. La politique est disponible dans votre AWS compte et est utilisée par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Model Governance](#security-iam-awsmanpol-governance-updates)
## AWS politique gérée : AmazonSageMakerModelGovernanceUseAccess
Cette politique AWS gérée accorde les autorisations nécessaires pour utiliser toutes les fonctionnalités d'Amazon SageMaker AI Governance. La politique est disponible dans votre AWS compte.
Cette politique inclut les autorisations suivantes.
+ `s3` : récupère des objets de compartiments Amazon S3. Les objets récupérables sont limités à ceux dont le nom insensible à la casse contient la chaîne `"sagemaker"`.
+ `kms`— Répertoriez les AWS KMS clés à utiliser pour le chiffrement du contenu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Model Governance
Consultez les détails des mises à jour des politiques AWS gérées pour la gouvernance des modèles d' SageMaker IA depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) : mise à jour d’une stratégie existante | 3 | Ajoutez une déclaration IDs (`Sid`). | 4 juin 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Mise à jour d'une politique existante | 2 | Ajoutez les autorisations `sagemaker:DescribeModelPackage` et `DescribeModelPackageGroup`. | 17 juillet 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Nouvelle politique | 1 | Politique initiale | 30 novembre 2022 |
# AWS Politiques gérées pour le registre des modèles
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Model Registry. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console Amazon SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Amazon SageMaker AI met à jour les politiques gérées par Model Registry](#security-iam-awsmanpol-model-registry-updates)
## AWS politique gérée : AmazonSageMakerModelRegistryFullAccess
Cette politique AWS gérée accorde les autorisations nécessaires pour utiliser toutes les fonctionnalités du Model Registry au sein d'un domaine Amazon SageMaker AI. Cette politique est attachée à un rôle d’exécution lors de la configuration des paramètres du registre de modèles pour activer les autorisations du registre des modèles.
Cette politique inclut les autorisations suivantes.
+ `ecr` : permet aux principaux de récupérer des informations, y compris des métadonnées, sur les images Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Permet aux principaux de transmettre le rôle d'exécution au service Amazon SageMaker AI.
+ `resource-groups`— Permet aux principaux de créer, répertorier, étiqueter et supprimer Groupes de ressources AWS.
+ `s3` : permet aux principaux de récupérer des objets depuis les compartiments Amazon Simple Storage Service (Amazon S3) dans lesquels les versions des modèles sont stockées. Les objets récupérables sont limités à ceux dont le nom insensible à la casse contient la chaîne `"sagemaker"`.
+ `sagemaker`— Permet aux principaux de cataloguer, de gérer et de déployer des modèles à l'aide du SageMaker Model Registry.
+ `kms`— Autorise uniquement le principal du service SageMaker AI à ajouter une subvention, à générer des clés de données, à déchiffrer et à lire des AWS KMS clés, et uniquement les clés étiquetées pour une utilisation « sagemaker ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Model Registry
Consultez les détails des mises à jour des politiques AWS gérées pour Model Registry depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) : mise à jour d’une stratégie existante | 2 | Ajoutez les autorisation `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey`, et `kms:Decrypt`. | 6 juin 2024 |
| AmazonSageMakerModelRegistryFullAccess - Nouvelle politique | 1 | Politique initiale | 12 avril 2023 |
# AWS Politiques gérées pour les SageMaker ordinateurs portables
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker blocs-notes. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI met à jour les SageMaker politiques gérées par AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS politique gérée : AmazonSageMakerNotebooksServiceRolePolicy
Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Notebooks. La politique est ajoutée à `AWSServiceRoleForAmazonSageMakerNotebooks` celle créée lors de l'intégration à Amazon SageMaker Studio Classic. Pour plus d’informations sur les rôles liés à un service, consultez [Rôles liés à un service](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Pour de plus amples informations, consultez [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `elasticfilesystem` – Permet aux principaux de créer et de supprimer des systèmes de fichiers Amazon Elastic File System (EFS), des points d'accès et des cibles de montage. Ils sont limités à ceux marqués avec la clé *ManagedByAmazonSageMakerResource*. Permet aux principaux de décrire tous les systèmes de fichiers EFS, les points d'accès et les cibles de montage. Permet aux principaux de créer ou de remplacer des balises pour les points d'accès EFS et les cibles de montage.
+ `ec2` – Permet aux principaux de créer des interfaces réseau et des groupes de sécurité pour les instances Amazon Elastic Compute Cloud (EC2). Permet également aux principaux de créer et de remplacer des balises pour ces ressources.
+ `sso` : permet aux principaux d’ajouter et de supprimer des instances d’applications gérées dans AWS IAM Identity Center.
+ `sagemaker`— Permet aux directeurs de créer et de lire SageMaker des profils d'utilisateurs et des espaces d' SageMaker IA, de supprimer des espaces d' SageMaker IA et des applications d' SageMaker IA, et d'ajouter et de répertorier des balises.
+ `fsx`— Permet aux responsables de décrire le système de fichiers Amazon FSx for Lustre et d'utiliser les métadonnées pour le monter sur un bloc-notes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les SageMaker politiques gérées par AI Notebooks
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) : mise à jour d’une stratégie existante | 10 | Ajouter l’autorisation `fsx:DescribeFileSystems`. | 14 novembre 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) : mise à jour d’une stratégie existante | 9 | Ajouter l’autorisation `sagemaker:DeleteApp`. | 24 juillet 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 8 | Ajoutez les autorisations `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` et `sagemaker:AddTags`. | 22 mai 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 7 | Ajouter l’autorisation `elasticfilesystem:TagResource`. | 9 mars 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 6 | Ajoutez les autorisations `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` et `elasticfilesystem:DescribeAccessPoints`. | 12 janvier 2023 |
| | | SageMaker AI a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 1er juin 2021 |
# AWS politiques gérées pour les applications Amazon SageMaker Partner AI
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les applications Amazon SageMaker Partner AI. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Amazon SageMaker AI met à jour les politiques gérées par Partner AI Apps](#security-iam-awsmanpol-partner-apps-updates)
## AWS politique gérée : AmazonSageMakerPartnerAppsFullAccess
Permet un accès administratif complet aux applications Amazon SageMaker Partner AI.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker`— Permet aux utilisateurs de l'application Amazon SageMaker Partner AI d'accéder aux applications, de répertorier les applications disponibles, de lancer des applications Web UIs et de se connecter à l'aide du SDK de l'application.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Partner AI Apps
Consultez les détails des mises à jour des politiques AWS gérées pour les applications d'IA partenaires depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Nouvelle politique | 1 | Politique initiale | 17 janvier 2025 |
# AWS Politiques gérées pour les SageMaker pipelines
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker pipelines. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [AWS politique gérée : AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Pipelines](#security-iam-awsmanpol-pipelines-updates)
## AWS politique gérée : AmazonSageMakerPipelinesIntegrations
Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser les étapes de rappel et les étapes Lambda dans les SageMaker pipelines. La politique est ajoutée à `AmazonSageMaker-ExecutionRole` celle créée lors de l'intégration à Amazon SageMaker Studio Classic. La politique peut être attachée à n’importe quel rôle utilisé pour la création ou l’exécution d’un pipeline.
Cette politique accorde les autorisations AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon et IAM nécessaires pour créer des pipelines qui invoquent des fonctions Lambda ou incluent des étapes de rappel, qui peuvent être utilisées pour des étapes d'approbation manuelle ou pour exécuter des charges de travail personnalisées.
Les autorisations Amazon SQS vous permettent de créer la file d’attente Amazon SQS nécessaire à la réception des messages de rappel et d’envoyer des messages à cette file d’attente.
Les autorisations Lambda vous permettent de créer, de lire, de mettre à jour et de supprimer les fonctions Lambda utilisées dans les étapes du pipeline, ainsi que d'appeler ces fonctions Lambda.
Cette politique accorde les autorisations Amazon EMR nécessaires à l'exécution d'une étape Amazon EMR de pipelines.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `elasticmapreduce` : lire, ajouter et annuler des étapes dans un cluster Amazon EMR en cours d’exécution. Lisez, créez et résiliez un nouveau cluster Amazon EMR.
+ `events`— Lisez, créez, mettez à jour et ajoutez des cibles à une EventBridge règle nommée `SageMakerPipelineExecutionEMRStepStatusUpdateRule` et`SageMakerPipelineExecutionEMRClusterStatusUpdateRule`.
+ `iam`— Transférez un rôle IAM au service AWS Lambda, à Amazon EMR et à Amazon EC2.
+ `lambda` – Créer, lire, mettre à jour, supprimer et appeler des fonctions Lambda. Ces autorisations sont limitées aux fonctions dont le nom inclut « sagemaker ».
+ `sqs` – Créer une file d'attente Amazon SQS ; envoyer un message Amazon SQS. Ces autorisations sont limitées aux files d’attente dont le nom inclut « sagemaker ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Pipelines
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) : mise à jour d’une stratégie existante | 3 | Autorisations ajoutées pour `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps` et `elasticmapreduce:DescribeCluster`. | 17 février 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) : mise à jour d’une stratégie existante | 2 | Autorisations ajoutées pour `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps` et `elasticmapreduce:DescribeStep`. | 20 avril 2022 |
| AmazonSageMakerPipelinesIntegrations - Nouvelle politique | 1 | Politique initiale | 30 juillet 2021 |
# AWS politiques gérées pour les plans SageMaker de formation
Cette politique AWS gérée accorde les autorisations nécessaires pour créer et gérer les plans de SageMaker formation Amazon et les capacités réservées dans le domaine de l' SageMaker IA. La politique peut être attachée aux rôles IAM utilisés pour créer et gérer les plans de formation et aux capacités réservées au sein de l' SageMaker IA, y compris votre [rôle d'exécution de l'SageMaker IA](sagemaker-roles.md).
**Topics**
+ [AWS politique gérée : AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [Amazon SageMaker AI met à jour les politiques gérées des plans de SageMaker formation](#security-iam-awsmanpol-training-plan-updates)
## AWS politique gérée : AmazonSageMakerTrainingPlanCreateAccess
Cette politique fournit les autorisations nécessaires pour créer, décrire, rechercher et répertorier des plans de formation en SageMaker IA. En outre, elle autorise également l’ajout de balises aux plans d’entraînement et aux ressources de capacité réservée dans des conditions spécifiques.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sagemaker` : créez des plans d’entraînement et une capacité réservée, autorisez l’ajout de balises aux plans d’entraînement et à la capacité réservée lorsque l’action de balisage est spécifiquement `CreateTrainingPlan` ou `CreateReservedCapacity`, autorisez la description des plans d’entraînement et autorisez la recherche d’offres de plans d’entraînement et la création de la liste des plans d’entraînement existants sur toutes les ressources.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées des plans de SageMaker formation
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - politique mise à jour | 2 | Politique mise à jour pour ajouter des autorisations permettant de récupérer des informations sur une capacité réservée spécifique et de répertorier toutes les UltraServers capacités réservées. | 29 juillet 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Nouvelle politique | 1 | Politique initiale | 4 décembre 2024 |
# AWS Politiques gérées pour les SageMaker projets et JumpStart
Ces politiques AWS gérées ajoutent des autorisations pour utiliser les modèles et JumpStart solutions de projet Amazon SageMaker AI intégrés. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
SageMaker Projetez et JumpStart utilisez AWS Service Catalog pour provisionner AWS des ressources dans les comptes des clients. Certaines ressources créées doivent assumer un rôle d’exécution. Par exemple, si AWS Service Catalog crée un CodePipeline pipeline pour le compte d'un client pour un CI/CD projet d'apprentissage automatique basé sur l' SageMaker IA, ce pipeline nécessite un rôle IAM.
Le [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)rôle dispose des autorisations requises pour lancer le portefeuille de produits SageMaker AI à partir de AWS Service Catalog. Le [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)rôle dispose des autorisations requises pour utiliser le portefeuille de produits SageMaker AI de AWS Service Catalog. Le `AmazonSageMakerServiceCatalogProductsLaunchRole` rôle transmet un `AmazonSageMakerServiceCatalogProductsUseRole` rôle aux ressources du produit AWS Service Catalog mises en service.
**Topics**
+ [AWS politique gérée : AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS politique gérée : AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Politique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS politique gérée : AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS politique gérée : AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsEventsServiceRole Politique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Politique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsGlueServiceRole Politique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsLambdaServiceRole Politique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [Amazon SageMaker AI met à jour les politiques AWS gérées par AWS Service Catalog](#security-iam-awsmanpol-sc-updates)
## AWS politique gérée : AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Cette politique de rôle de service est utilisée par le AWS Service Catalog service pour fournir des produits du portefeuille Amazon SageMaker AI. La politique accorde des autorisations à un ensemble de AWS services connexes AWS CodePipeline, notamment AWS CodeBuild, AWS CodeCommit, AWS CloudFormation, AWS Glue et autres.
La `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` politique est destinée à être utilisée par le `AmazonSageMakerServiceCatalogProductsLaunchRole` rôle créé à partir de la console SageMaker AI. La politique ajoute des autorisations permettant de fournir AWS des ressources pour les SageMaker projets et JumpStart d'utiliser Service Catalog sur le compte d'un client.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `apigateway` – Autorise le rôle à appeler les points de terminaison API Gateway étiquetés avec `sagemaker:launch-source`.
+ `cloudformation`— Permet AWS Service Catalog de créer, de mettre à jour et de supprimer des CloudFormation piles. Autorise également Service Catalog à ajouter des balises aux ressources et à les supprimer.
+ `codebuild`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de créer, CloudFormation de mettre à jour et de supprimer CodeBuild des projets.
+ `codecommit`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de créer, mettre CloudFormation à jour et supprimer CodeCommit des référentiels.
+ `codepipeline`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de créer, CloudFormation de mettre à jour et de supprimer CodePipelines.
+ `codeconnections`, `codestar-connections` — Permet également au rôle de passer AWS CodeConnections et de créer AWS CodeStar des connexions.
+ `cognito-idp` : autorise le rôle à créer, à mettre à jour, et à supprimer des groupes et des groupes d’utilisateurs. Autorise également le balisage des ressources.
+ `ecr`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de CloudFormation créer et de supprimer des référentiels Amazon ECR. Autorise également le balisage des ressources.
+ `events`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de CloudFormation créer et de supprimer EventBridge des règles. Utilisé pour relier les différents composants du pipeline CI/CD.
+ `firehose` : autorise le rôle à interagir avec les flux Firehose.
+ `glue`— Permet au rôle d'interagir avec AWS Glue.
+ `iam` – Autorise le rôle à transmettre les rôles préfixés par `AmazonSageMakerServiceCatalog`. Cela est nécessaire lorsque Projects alloue un produit AWS Service Catalog , car un rôle doit être transmis à AWS Service Catalog.
+ `lambda` : autorise le rôle à interagir avec AWS Lambda. Autorise également le balisage des ressources.
+ `logs` – Autorise le rôle à créer, à supprimer et à accéder à des flux de journaux.
+ `s3`— Permet au rôle assumé par AWS Service Catalog et transmis d'accéder CloudFormation aux compartiments Amazon S3 dans lesquels le code du modèle de projet est stocké.
+ `sagemaker`— Permet au rôle d'interagir avec différents services d' SageMaker IA. Cela se fait à la fois CloudFormation lors du provisionnement du modèle et CodeBuild lors de l'exécution du pipeline CICD. Elle autorise également le balisage des ressources suivantes : points de terminaison, configurations des points de terminaison, modèles, pipelines, projets et packages de modèles.
+ `states` : autorise le rôle à créer, à supprimer et à mettre à jour les fonctions d’étape préfixées par `sagemaker`.
Pour consulter les autorisations associées à cette politique, voir [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) dans la référence des politiques AWS gérées.
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Cette politique est utilisée par Amazon API Gateway dans le cadre AWS Service Catalog des produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transmis aux AWS ressources créées par API Gateway qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `lambda` : invoquez une fonction créée par un modèle partenaire.
+ `sagemaker` : invoquez un point de terminaison créé par un modèle partenaire.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Cette politique est utilisée AWS CloudFormation au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par CloudFormation lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam` : transmettez les rôles `AmazonSageMakerServiceCatalogProductsLambdaRole` et `AmazonSageMakerServiceCatalogProductsApiGatewayRole`.
+ `lambda`— Créez, mettez à jour, supprimez et invoquez des AWS Lambda fonctions ; récupérez, publiez et supprimez des versions d'une couche Lambda.
+ `apigateway` : créez, mettez à jour et supprimez des ressources Amazon API Gateway.
+ `s3` : récupérez le fichier `lambda-auth-code/layer.zip` à partir d'un compartiment Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Cette politique est utilisée AWS Lambda au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par Lambda qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `secretsmanager` : récupérez les données des secrets fournis par le partenaire pour un modèle partenaire.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Cette politique est utilisée par Amazon API Gateway dans le cadre AWS Service Catalog des produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transmis aux AWS ressources créées par API Gateway qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `logs`— Créez et lisez CloudWatch des groupes de journaux, des flux et des événements ; mettez à jour des événements ; décrivez diverses ressources.
Ces autorisations sont limitées aux ressources dont le préfixe de groupe de journaux commence par « aws/apigateway/ ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Politique
Cette politique est utilisée AWS CloudFormation au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par CloudFormation lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sagemaker`— Autorisez l'accès à diverses ressources d' SageMaker IA, à l'exception des domaines, des profils utilisateurs, des applications et des définitions de flux.
+ `iam` : transmettez les rôles `AmazonSageMakerServiceCatalogProductsCodeBuildRole` et `AmazonSageMakerServiceCatalogProductsExecutionRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Cette politique est utilisée AWS CodeBuild au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par CodeBuild lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sagemaker`— Autoriser l'accès à diverses ressources d' SageMaker IA.
+ `codecommit`— Téléchargez CodeCommit des archives vers des CodeBuild pipelines, obtenez le statut du téléchargement et annulez les téléchargements ; obtenez des informations sur les branches et les validations. Ces autorisations sont limitées aux ressources dont le nom commence par « sagemaker- ».
+ `ecr` : créez des référentiels Amazon ECR et des images de conteneurs ; chargez des couches d'images. Ces autorisations sont limitées aux référentiels dont le nom commence par « sagemaker- ».
`ecr` : lisez toutes les ressources.
+ `iam` : transmettez les rôles suivants :
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`à AWS CloudFormation.
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`à AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`à AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`à Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`à Amazon SageMaker AI.
+ `logs`— Créez et lisez CloudWatch des groupes de journaux, des flux et des événements ; mettez à jour des événements ; décrivez diverses ressources.
Ces autorisations sont limitées aux ressources dont le préfixe du nom commence par « aws/codebuild/ ».
+ `s3` : créez, lisez et répertoriez les compartiments Amazon S3. Ces autorisations sont limitées aux compartiments dont le nom commence par « sagemaker- ».
+ `codeconnections`, `codestar-connections` — Utilisation AWS CodeConnections et AWS CodeStar connexions.
Pour consulter les autorisations associées à cette politique, reportez-vous [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)à la référence des politiques AWS gérées.
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Cette politique est utilisée AWS CodePipeline au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par CodePipeline lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `cloudformation`— Créez, lisez, supprimez et mettez à jour des CloudFormation piles ; créez, lisez, supprimez et exécutez des ensembles de modifications ; définissez une politique de pile ; balisez et débalisez les ressources. Ces autorisations sont limitées aux ressources dont le nom commence par « sagemaker- ».
+ `s3` : créez, lisez, répertoriez et supprimez des compartiments Amazon S3 ; ajoutez, lisez et supprimez des objets dans les compartiments ; lisez et définissez la configuration CORS ; lisez la liste de contrôle d'accès (ACL) et lisez la région AWS où se trouve le compartiment.
Ces autorisations sont limitées aux compartiments dont le nom commence par « sagemaker- » ou « aws-glue- ».
+ `iam` : transmettez le rôle `AmazonSageMakerServiceCatalogProductsCloudformationRole`.
+ `codebuild`— Obtenez des informations sur les CodeBuild builds et lancez les builds. Ces autorisations sont limitées aux ressources de projet et de génération dont le nom commence par « sagemaker- ».
+ `codecommit`— Téléchargez CodeCommit des archives vers des CodeBuild pipelines, obtenez le statut du téléchargement et annulez les téléchargements ; obtenez des informations sur les branches et les validations.
+ `codeconnections`, `codestar-connections` — Utilisation AWS CodeConnections et AWS CodeStar connexions.
Pour consulter les autorisations associées à cette politique, reportez-vous [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)à la référence des politiques AWS gérées.
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsEventsServiceRole Politique
Cette politique est appliquée par Amazon EventBridge dans le cadre AWS Service Catalog des produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par EventBridge lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `codepipeline`— Lance une CodeBuild exécution. Ces autorisations sont limitées aux pipelines dont le nom commence par « sagemaker- ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Politique
Cette politique est utilisée par Amazon Data Firehose dans le cadre des produits AWS Service Catalog fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transmis aux AWS ressources créées par Firehose qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `firehose` : envoie les enregistrements Firehose. Ces autorisations sont limitées aux ressources dont le nom du flux de diffusion commence par « sagemaker- ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsGlueServiceRole Politique
Cette politique est utilisée par AWS Glue dans le cadre des produits fournis par le AWS Service Catalog à partir du portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transmis aux AWS ressources créées par Glue qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `glue`— Créez, lisez et supprimez des partitions, des tables et des versions de tables AWS Glue. Ces autorisations sont limitées aux ressources dont le nom commence par « sagemaker- ». Créez et lisez des bases AWS de données Glue. Ces autorisations sont limitées aux bases de données dont le nom est « default » ou « global\$1temp », ou dont le nom commence par « sagemaker- ». Obtenez des fonctions définies par l'utilisateur.
+ `s3` : créez, lisez, répertoriez et supprimez des compartiments Amazon S3 ; ajoutez, lisez et supprimez des objets dans les compartiments ; lisez et définissez la configuration CORS ; lisez la liste de contrôle d'accès (ACL) et lisez la région AWS où se trouve le compartiment.
Ces autorisations sont limitées aux compartiments dont le nom commence par « sagemaker- » ou « aws-glue- ».
+ `logs`— Créez, lisez et supprimez les CloudWatch journaux, le groupe de journaux, les flux et les livraisons ; et créez une politique de ressources.
Ces autorisations sont limitées aux ressources dont le préfixe du nom commence par « aws/glue ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsLambdaServiceRole Politique
Cette politique est utilisée AWS Lambda au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par Lambda qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sagemaker`— Autoriser l'accès à diverses ressources d' SageMaker IA.
+ `ecr` : créez et supprimez des référentiels Amazon ECR ; créez, lisez et supprimez des images de conteneurs ; chargez des couches d’images. Ces autorisations sont limitées aux référentiels dont le nom commence par « sagemaker- ».
+ `events`— Créez, lisez et supprimez les EventBridge règles Amazon, et créez et supprimez des cibles. Ces autorisations sont limitées aux règles dont le nom commence par « sagemaker- ».
+ `s3` : créez, lisez, répertoriez et supprimez des compartiments Amazon S3 ; ajoutez, lisez et supprimez des objets dans les compartiments ; lisez et définissez la configuration CORS ; lisez la liste de contrôle d’accès (ACL) et lisez la région AWS où se trouve le compartiment.
Ces autorisations sont limitées aux compartiments dont le nom commence par « sagemaker- » ou « aws-glue- ».
+ `iam` : transmettez le rôle `AmazonSageMakerServiceCatalogProductsExecutionRole`.
+ `logs`— Créez, lisez et supprimez les CloudWatch journaux, le groupe de journaux, les flux et les livraisons ; et créez une politique de ressources.
Ces autorisations sont limitées aux ressources dont le préfixe du nom commence par « aws/lambda/ ».
+ `codebuild`— Démarrez et obtenez des informations sur les AWS CodeBuild builds.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques AWS gérées par AWS Service Catalog
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) – Mise à jour de politique | 10 | Mise à jour `codestar-connections:PassConnection` et `codeconnections:PassConnection` autorisations. | 27 septembre 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy) – Mise à jour de politique | 3 | Mise à jour `codestar-connections:UseConnection` et `codeconnections:UseConnection` autorisations. | 27 septembre 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy) – Mise à jour de politique | 3 | Mise à jour `codestar-connections:UseConnection` et `codeconnections:UseConnection` autorisations. | 27 septembre 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) – Mise à jour de politique | 9 | Ajoutez les autorisations `cloudformation:TagResource`, `cloudformation:UntagResource` et `codeconnections:PassConnection`. | 1er juillet 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 7 | Restauration de la politique à la version 7 (v7). Suppression des autorisations `cloudformation:TagResource`, `cloudformation:UntagResource` et `codeconnections:PassConnection`. | 12 juin 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 8 | Ajoutez les autorisations `cloudformation:TagResource`, `cloudformation:UntagResource` et `codeconnections:PassConnection`. | 11 juin 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy) : politique mise à jour | 2 | Ajoutez les autorisations `codestar-connections:UseConnection` et `codeconnections:UseConnection`. | 11 juin 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy) : politique mise à jour | 2 | Ajout des autorisations `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` et `codeconnections:UseConnection`. | 11 juin 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy) : politique mise à jour | 2 | Ajoutez les autorisations `codebuild:StartBuild` et `codebuild:BatchGetBuilds`. | 11 juin 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Politique initiale | 1er août 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Politique initiale | 1er août 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Politique initiale | 1er août 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy) : politique mise à jour | 2 | Ajout d’une nouvelle autorisation pour `glue:GetUserDefinedFunctions`. | 26 août 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 7 | Ajout d’une nouvelle autorisation pour `sagemaker:AddTags`. | 2 août 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 6 | Ajout d'une nouvelle autorisation pour `lambda:TagResource`. | 14 juillet 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolitique | 1 | Politique initiale | 4 avril 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Politique initiale | 24 mars 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Politique initiale | 24 mars 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Politique initiale | 24 mars 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 5 | Ajout d’une nouvelle autorisation pour `ecr-idp:TagResource`. | 21 mars 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Politique initiale | 22 février 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Politique initiale | 22 février 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Politique initiale | 22 février 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolitique | 1 | Politique initiale | 22 février 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 4 | Ajout d'autorisations pour `cognito-idp:TagResource` et `s3:PutBucketCORS`. | 16 février 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 3 | Ajout de nouvelles autorisations pour `sagemaker`. Créez, lisez, mettez à jour et supprimez SageMaker des images. | 15 septembre 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 2 | Ajout d'autorisations pour `sagemaker` et `codestar-connections`. Création, lecture, mise à jour et suppression des référentiels de code. Transmettez AWS CodeStar les connexions à AWS CodePipeline. | 1er juillet 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Politique initiale | 27 novembre 2020 |
## SageMaker Mises à jour des politiques AWS gérées par l'IA
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour l' SageMaker IA depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) : mise à jour d’une stratégie existante | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 décembre 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) : mise à jour d’une stratégie existante | 26 | Ajouter l’autorisation `sagemaker:AddTags`. | 29 mars 2024 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 25 | Ajout des autorisations `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` et `s3express:ListAllMyDirectoryBuckets`. | 30 novembre 2023 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 24 | Ajoutez les autorisations `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` et `sagemaker:ListSpaces`. | 30 novembre 2022 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 23 | Addition `glue:UpdateTable`. | 29 juin 2022 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 22 | Addition `cloudformation:ListStackResources`. | 1er mai 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) : mise à jour d’une stratégie existante | 11 | Ajoutez des autorisations `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy`. | 1er décembre 2021 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 21 | Ajout des autorisations `sns:Publish` pour les points de terminaison dont l’inférence asynchrone est activée. | 8 septembre 2021 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 20 | Mettez à jour les ressources et les autorisations `iam:PassRole`. | 15 juillet 2021 |
| AmazonSageMakerReadOnly - Mise à jour d'une politique existante | 10 | Nouvelle API `BatchGetRecord` ajoutée pour SageMaker AI Feature Store. | 10 juin 2021 |
| | | SageMaker AI a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 1er juin 2021 |
# Résolution des problèmes liés à Amazon SageMaker AI Identity and Access
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec l' SageMaker IA et l'IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans SageMaker AI](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources d' SageMaker IA](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans SageMaker AI
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.
L’exemple d’erreur suivant se produit lorsque l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des détails concernant une tâche d’entraînement, mais ne dispose pas des autorisations `sagemaker:sagemaker:DescribeTrainingJob`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not
authorized to perform: sagemaker:DescribeTrainingJob on resource: my-example-widget
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `TrainingJob` à l’aide de l’action `sagemaker:DescribeTrainingJob`.
## Je ne suis pas autorisé à effectuer `iam:PassRole`
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à l' SageMaker IA.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans SageMaker AI. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources d' SageMaker IA
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si l' SageMaker IA prend en charge ces fonctionnalités, consultez[Comment Amazon SageMaker AI fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Journalisation et surveillance
Vous pouvez surveiller Amazon SageMaker AI à l'aide d'Amazon CloudWatch, qui collecte les données brutes et les transforme en indicateurs lisibles en temps quasi réel. Ces statistiques sont enregistrées pour une durée de 15 mois ; par conséquent, vous pouvez accéder aux informations historiques et acquérir un meilleur point de vue de la façon dont votre service ou application web s’exécute. Vous pouvez également définir des alarmes qui surveillent certains seuils et envoient des notifications ou prennent des mesures lorsque ces seuils sont atteints. Pour de plus amples informations, veuillez consulter [Métriques Amazon SageMaker AI sur Amazon CloudWatch](monitoring-cloudwatch.md).
Amazon CloudWatch Logs vous permet de surveiller, de stocker et d'accéder à vos fichiers journaux à partir d'instances Amazon EC2 et d'autres sources. AWS CloudTrail Vous pouvez collecter et suivre les métriques, créer des tableaux de bord personnalisés et définir des alarmes qui vous avertissent ou prennent des mesures lorsqu'une métrique spécifiée atteint un seuil que vous spécifiez. CloudWatch Les journaux peuvent surveiller les informations contenues dans les fichiers journaux et vous avertir lorsque certains seuils sont atteints. Vous pouvez également archiver vos données de journaux dans une solution de stockage hautement durable. Pour de plus amples informations, veuillez consulter [CloudWatch Journaux pour Amazon SageMaker AI](logging-cloudwatch.md).
AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans l' SageMaker IA. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite à SageMaker AI, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires. Pour plus d’informations, consultez [Journalisation des appels d'API Amazon SageMaker AI à l'aide de AWS CloudTrail](logging-using-cloudtrail.md).
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) est un service de détection des menaces qui surveille et analyse en permanence vos journaux CloudTrail de gestion et d'événements afin d'identifier les problèmes de sécurité potentiels. Lorsque vous activez GuardDuty un AWS compte, celui-ci commence automatiquement à analyser CloudTrail les journaux pour détecter toute activité suspecte SageMaker APIs. Par exemple, GuardDuty détectera une activité suspecte lorsqu'un utilisateur crée de manière anormale une nouvelle instance de bloc-notes pré-signée ou vierge qui peut ensuite être utilisée pour des actions malveillantes. GuardDutyla détection unique d'exfiltration d'informations d'identification peut aider un client à identifier que les AWS informations d'identification associées à l'instance Amazon EC2 ont été exfiltrées, puis utilisées pour appeler depuis un autre compte. SageMaker APIs AWS
Vous pouvez créer des règles dans Amazon CloudWatch Events pour réagir aux changements de statut dans le cadre d'une tâche de SageMaker formation, de réglage d'hyperparamètres ou de transformation par lots. Pour de plus amples informations, veuillez consulter [Événements qu'Amazon SageMaker AI envoie à Amazon EventBridge](automating-sagemaker-with-eventbridge.md).
**Note**
CloudTrail ne surveille pas les appels vers [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html).
# Validation de conformité pour Amazon SageMaker AI
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# La résilience dans Amazon SageMaker AI
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
Outre l'infrastructure AWS mondiale, Amazon SageMaker AI propose plusieurs fonctionnalités pour répondre à vos besoins en matière de résilience et de sauvegarde des données.
# Sécurité de l'infrastructure dans Amazon SageMaker AI
En tant que service géré, Amazon SageMaker AI est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon SageMaker AI via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
**Topics**
+ [SageMaker L'IA analyse les conteneurs AWS Marketplace de formation et d'inférence pour détecter les vulnérabilités de sécurité](#mkt-container-scan)
+ [Connectez-vous aux ressources Amazon SageMaker AI depuis un VPC](infrastructure-connect-to-resources.md)
+ [Exécution des conteneurs d’entraînement et d’inférence sans accès Internet](mkt-algo-model-internet-free.md)
+ [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md)
+ [Donnez à l' SageMaker IA un accès aux ressources de votre Amazon VPC](infrastructure-give-access.md)
## SageMaker L'IA analyse les conteneurs AWS Marketplace de formation et d'inférence pour détecter les vulnérabilités de sécurité
Pour répondre à nos exigences de sécurité, toutes les [ SageMaker images prédéfinies](https://docs.aws.amazon.com/sagemaker/latest/dg-ecr-paths/sagemaker-algo-docker-registry-paths.html), y compris les AWS Deep Learning Containers, les conteneurs du framework d'apprentissage automatique SageMaker AI et les conteneurs d'algorithmes intégrés à l' SageMaker IA, ainsi que les algorithmes et les packages de modèles répertoriés dans ce document, AWS Marketplace sont scannés pour détecter les vulnérabilités et expositions communes (CVE). Les CVE sont une liste d’informations de sécurité connues publiquement sur les vulnérabilités et expositions. La National Vulnerability Database (NVD) fournit des détails sur les CVE telles que la gravité, l’impact et les correctifs. Les CVE et la NVD sont mises à la disposition du public. Les outils de sécurité et les services sont utilisables gratuitement. Pour plus d'informations, consultez les questions [fréquemment posées sur le CVE (FAQs).](https://www.cve.org/ResourcesSupport/FAQs)
# Connectez-vous aux ressources Amazon SageMaker AI depuis un VPC
**Important**
Les informations suivantes s'appliquent à Amazon SageMaker Studio et à Amazon SageMaker Studio Classic. Les mêmes concepts de connexion aux ressources au sein d’un VPC s’appliquent à Studio et à Studio Classic.
Les instances Amazon SageMaker Studio et SageMaker AI Notebook autorisent un accès direct à Internet par défaut. SageMaker L'IA vous permet de télécharger des packages et des blocs-notes populaires, de personnaliser votre environnement de développement et de travailler efficacement. Toutefois, cela pourrait ouvrir une voie pour l’accès non autorisé à vos données. Par exemple, si vous installez un code malveillant sur votre ordinateur sous la forme d’un bloc-notes ou d’une bibliothèque de code source disponible publiquement, il peut accéder à vos données. Vous pouvez limiter le trafic autorisé à accéder à Internet en lançant vos instances Studio et SageMaker AI Notebook dans un [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
Un Amazon Virtual Private Cloud est un réseau virtuel dédié à votre AWS compte. Avec un réseau Amazon VPC, vous pouvez contrôler l’accès réseau et la connectivité Internet de vos instances de bloc-notes et Studio. Vous pouvez supprimer l’accès direct à Internet pour ajouter une couche de sécurité supplémentaire.
Les rubriques suivantes décrivent comment connecter vos instances Studio et vos instances de bloc-notes aux ressources d’un VPC.
**Topics**
+ [Connect Amazon SageMaker Studio dans un VPC à des ressources externes](studio-updated-and-internet-access.md)
+ [Connexion des blocs-notes Studio d’un VPC à des ressources externes](studio-notebooks-and-internet-access.md)
+ [Connecter une instance de bloc-notes dans un VPC à des ressources externes](appendix-notebook-and-internet-access.md)
# Connect Amazon SageMaker Studio dans un VPC à des ressources externes
**Important**
Depuis le 30 novembre 2023, l'expérience Amazon SageMaker Studio précédente s'appelle désormais Amazon SageMaker Studio Classic. La section suivante est spécifique à l’utilisation de l’expérience Studio mise à jour. Pour en savoir plus sur l’utilisation de l’application Studio Classic, consultez [Amazon SageMaker Studio classique](studio.md).
La rubrique suivante explique comment connecter Amazon SageMaker Studio dans un VPC à des ressources externes.
**Topics**
+ [Communication par défaut avec Internet](#studio-notebooks-and-internet-access-default-setting)
+ [Communication `VPC only` avec Internet](#studio-notebooks-and-internet-access-vpc-only)
## Communication par défaut avec Internet
Par défaut, Amazon SageMaker Studio fournit une interface réseau qui permet de communiquer avec Internet via un VPC géré par SageMaker l'IA. Le trafic vers AWS des services tels qu'Amazon S3 CloudWatch passe par une passerelle Internet, tout comme le trafic qui accède à l'API SageMaker AI et au runtime SageMaker AI. Le trafic entre le domaine et votre volume Amazon EFS passe par le VPC que vous avez spécifié lors de votre intégration au domaine ou que vous avez appelé l'API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## Communication `VPC only` avec Internet
Pour empêcher l' SageMaker IA de fournir un accès Internet à Studio, vous pouvez désactiver l'accès à Internet en spécifiant le type d'accès `VPC only` réseau lorsque vous vous [connectez à Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou que vous appelez l'[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Par conséquent, vous ne pourrez pas exécuter Studio à moins que votre VPC ne dispose d'un point de terminaison d'interface vers l' SageMaker API et le runtime, ou d'une passerelle NAT avec accès à Internet, et que vos groupes de sécurité n'autorisent les connexions sortantes.
**Note**
Le type d’accès réseau peut être modifié après la création du domaine à l’aide du paramètre `--app-network-access-type` de la commande [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html).
### Exigences pour utiliser le mode `VPC only`
Si vous avez choisi `VpcOnly`, procédez comme suit :
1. Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode `VpcOnly`.
1. Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité d’adresse IP totale d’un domaine est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Veillez à ce que votre utilisation estimée d’adresses IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l'utilisation de sous-réseaux répartis dans de nombreuses zones de disponibilité peut favoriser la disponibilité d'adresses IP. Pour plus d'informations, consultez la section [Dimensionnement des VPC et des sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) pour. IPv4
**Note**
Vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
1.
**Avertissement**
Lorsque vous utilisez le mode `VpcOnly`, vous êtes partiellement propriétaire de la configuration réseau du domaine. Nous recommandons la bonne pratique de sécurité qui consiste à appliquer les autorisations de moindre privilège aux accès entrant et sortant fournis par les règles des groupes de sécurité. Des configurations avec des règles entrantes trop permissives pourraient permettre à des utilisateurs ayant accès au VPC d'interagir avec les applications d'autres profils utilisateur sans authentification.
Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui autorisent le trafic suivant :
+ [Trafic NFS sur TCP sur le port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre le domaine et le volume Amazon EFS.
+ [Trafic TCP au sein du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Cela est nécessaire pour la connectivité entre l'application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l’accès à au moins des ports situés dans la plage `8192-65535`.
Créez un groupe de sécurité distinct pour chaque profil utilisateur et ajoutez un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l'accès entrant à lui-même, toutes les applications figurant dans le domaine auront accès à toutes les autres applications du domaine.
1. Si vous souhaitez autoriser l’accès à Internet, vous devez utiliser une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) avec accès Internet, par exemple via une [passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Si vous ne souhaitez pas autoriser l'accès à Internet, [créez des points de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink) pour permettre à Studio d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité pour votre VPC à ces points de terminaison.
+ SageMaker API :`com.amazonaws.region.sagemaker.api`.
+ SageMaker Temps d'exécution de l'IA :`com.amazonaws.region.sagemaker.runtime`. Nécessaire pour exécuter les invocations de point de terminaison.
+ Simple Storage Service (Amazon S3) : `com.amazonaws.region.s3`.
+ SageMaker Projets :`com.amazonaws.region.servicecatalog`.
+ SageMaker Atelier :`aws.sagemaker.region.studio`.
+ Tout autre AWS service dont vous avez besoin.
Si vous utilisez le [SDK SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) pour exécuter des tâches de formation à distance, vous devez également créer les points de terminaison Amazon VPC suivants.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:`com.amazonaws.region.logs`. Cela est nécessaire pour permettre au SDK SageMaker Python d'obtenir le statut de la tâche de formation à distance à partir de Amazon CloudWatch.
1. Si vous utilisez le domaine en mode `VpcOnly` depuis un réseau sur site, établissez une connectivité privée entre le réseau de l’hôte exécutant Studio dans le navigateur et le réseau Amazon VPC cible. Cela est nécessaire car l'interface utilisateur de Studio appelle les AWS points de terminaison à l'aide d'appels d'API avec des informations d'identification temporaires AWS . Ces informations d’identification temporaires sont associées au rôle d’exécution du profil utilisateur connecté. Si le domaine est configuré en `VpcOnly` mode sur un réseau local, le rôle d'exécution peut définir des conditions de politique IAM qui imposent l'exécution des appels d'API de AWS service uniquement via les points de terminaison Amazon VPC configurés. Cela entraîne l'échec des appels d'API exécutés depuis l'interface utilisateur de Studio. Nous vous recommandons de résoudre ce problème à l’aide d’une connexion [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) ou [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
**Note**
Pour un client travaillant en mode VPC, les pare-feu d’entreprise peuvent entraîner des problèmes de connexion avec Studio ou les applications. Effectuez les vérifications suivantes si vous rencontrez l’un de ces problèmes lorsque vous utilisez Studio derrière un pare-feu.
Vérifiez que l'URL de Studio et celle URLs de toutes vos applications figurent dans la liste d'autorisation de votre réseau. Par exemple :
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Vérifiez que les connexions websocket ne sont pas bloquées. Jupyter utilise des websockets.
**Pour plus d’informations**
+ [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md)
+ [VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Connexion des blocs-notes Studio d’un VPC à des ressources externes
La rubrique suivante fournit des informations sur la façon de connecter les blocs-notes Studio d’un VPC à des ressources externes.
## Communication par défaut avec Internet
Par défaut, SageMaker Studio fournit une interface réseau qui permet de communiquer avec Internet via un VPC géré par SageMaker l'IA. Le trafic vers AWS des services, tels qu'Amazon S3 et Amazon CloudWatch, passe par une passerelle Internet. Le trafic qui accède à l' SageMaker API et à l'environnement d'exécution de l' SageMaker IA passe également par une passerelle Internet. Le trafic entre le domaine et le volume Amazon EFS passe par le VPC que vous avez identifié lors de votre intégration à Studio ou que vous avez appelé l'API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Le schéma suivant illustre la configuration par défaut.
![\[SageMaker Schéma VPC de Studio illustrant l'utilisation de l'accès direct à Internet.\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## Communication `VPC only` avec Internet
Pour empêcher l' SageMaker IA de fournir un accès Internet à vos blocs-notes Studio, désactivez l'accès à Internet en spécifiant le type d'accès `VPC only` réseau. Spécifiez ce type d'accès réseau lorsque vous [intégrez Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou que vous appelez l'[CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Par conséquent, vous ne pourrez pas exécuter un bloc-notes Studio à moins que :
+ votre VPC dispose d'un point de terminaison d'interface vers l' SageMaker API et le runtime, ou d'une passerelle NAT avec accès à Internet
+ vos groupes de sécurité autorisent les connexions sortantes.
Le diagramme suivant montre une configuration pour utiliser le mode VPC uniquement.
![\[SageMaker Schéma Studio VPC illustrant l'utilisation du mode VPC uniquement.\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Exigences pour utiliser le mode `VPC only`
Si vous avez choisi `VpcOnly`, procédez comme suit :
1. Vous devez utiliser des sous-réseaux privés uniquement. Vous ne pouvez pas utiliser de sous-réseaux publics en mode `VpcOnly`.
1. Assurez-vous que vos sous-réseaux disposent du nombre requis d'adresses IP. Le nombre prévu d'adresses IP nécessaires par utilisateur peut varier en fonction du cas d'utilisation. Nous recommandons entre 2 et 4 adresses IP par utilisateur. La capacité d’adresse IP totale d’un domaine Studio est la somme des adresses IP disponibles pour chaque sous-réseau fourni lors de la création du domaine. Assurez-vous que votre utilisation d’adresses IP ne dépasse pas la capacité prise en charge par le nombre de sous-réseaux que vous fournissez. En outre, l’utilisation de sous-réseaux répartis dans de nombreuses zones de disponibilité peut favoriser la disponibilité d’adresses IP. Pour plus d'informations, consultez la section [Dimensionnement des VPC et des sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) pour. IPv4
**Note**
Vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s'exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
1.
**Avertissement**
Lorsque vous utilisez le mode `VpcOnly`, vous êtes partiellement propriétaire de la configuration réseau du domaine. Nous recommandons la bonne pratique de sécurité qui consiste à appliquer les autorisations de moindre privilège aux accès entrant et sortant fournis par les règles des groupes de sécurité. Des configurations avec des règles entrantes trop permissives pourraient permettre à des utilisateurs ayant accès au VPC d'interagir avec les applications d'autres profils utilisateur sans authentification.
Configurez un ou plusieurs groupes de sécurité avec des règles entrantes et sortantes qui autorisent le trafic suivant :
+ [Trafic NFS sur TCP sur le port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre le domaine et le volume Amazon EFS.
+ [Trafic TCP au sein du groupe de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Cela est nécessaire pour la connectivité entre l'application Jupyter Server et les applications Kernel Gateway. Vous devez autoriser l’accès à au moins des ports situés dans la plage `8192-65535`.
Créez un groupe de sécurité distinct pour chaque profil utilisateur et ajoutez un accès entrant à partir de ce même groupe de sécurité. Nous déconseillons de réutiliser un groupe de sécurité au niveau du domaine pour les profils utilisateur. Si le groupe de sécurité au niveau du domaine autorise l’accès entrant à lui-même, toutes les applications figurant dans le domaine auront accès à toutes les autres applications du domaine.
1. Si vous souhaitez autoriser l’accès à Internet, vous devez utiliser une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) avec accès Internet, par exemple via une [passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Pour supprimer l'accès à Internet, [créez des points de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) pour permettre à Studio d'accéder aux services suivants avec les noms de service correspondants. Vous devez également associer les groupes de sécurité pour votre VPC à ces points de terminaison.
+ SageMaker API : `com.amazonaws.region.sagemaker.api`
+ SageMaker Temps d'exécution de l'IA :`com.amazonaws.region.sagemaker.runtime`. Ceci est nécessaire pour exécuter des blocs-notes Studio et pour entraîner et héberger des modèles.
+ Simple Storage Service (Amazon S3) : `com.amazonaws.region.s3`.
+ Pour utiliser SageMaker les projets :`com.amazonaws.region.servicecatalog`.
+ Tout autre AWS service dont vous avez besoin.
Si vous utilisez le [SDK SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) pour exécuter des tâches de formation à distance, vous devez également créer les points de terminaison Amazon VPC suivants.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:`com.amazonaws.region.logs`. Cela est nécessaire pour permettre au SDK SageMaker Python d'obtenir le statut de la tâche de formation à distance à partir de Amazon CloudWatch.
**Note**
Pour un client travaillant en mode VPC, les pare-feux de l'entreprise peuvent entraîner des problèmes de connexion avec SageMaker Studio ou entre et JupyterServer le. KernelGateway Effectuez les vérifications suivantes si vous rencontrez l'un de ces problèmes lorsque vous utilisez SageMaker Studio derrière un pare-feu.
Vérifiez que l’URL de Studio est dans votre liste d’autorisations de réseaux.
Vérifiez que les connexions WebSocket ne sont pas bloquées. Jupyter utilise WebSocket en arrière-plan. Si c'est KernelGateway le cas InService, il JupyterServer se peut que vous ne puissiez pas vous connecter au KernelGateway. Vous devriez voir ce problème également lors de l'ouverture du terminal système.
**Pour plus d’informations**
+ [Sécurisation de la connectivité Amazon SageMaker Studio à l'aide d'un VPC privé](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md)
+ [VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Connecter une instance de bloc-notes dans un VPC à des ressources externes
La rubrique suivante fournit des informations sur la manière de connecter votre instance de bloc-notes dans un VPC à des ressources externes.
## Communication par défaut avec Internet
Lorsque votre ordinateur portable permet un *accès direct à Internet*, l' SageMaker IA fournit une interface réseau qui lui permet de communiquer avec Internet via un VPC géré par SageMaker l'IA. Le trafic dans le CIDR de votre VPC passe par l’interface réseau Elastic créée dans votre VPC. Tout le reste du trafic passe par l'interface réseau créée par l' SageMaker IA, qui passe essentiellement par l'Internet public. Le trafic vers les points de terminaison d’un VPC d’une passerelle comme Amazon S3 et DynamoDB passera par l’Internet public, tandis que le trafic vers les points de terminaison d’un VPC d’interface passera toujours par votre VPC. Si vous souhaitez utiliser les points de terminaison d’un VPC d’une passerelle, vous pouvez désactiver l’accès direct à Internet.
## Communication VPC uniquement avec Internet
Pour désactiver l’accès direct à Internet, vous pouvez spécifier un VPC pour votre instance de bloc-notes. Ce faisant, vous empêchez l' SageMaker IA de fournir un accès Internet à votre instance de bloc-notes. Par conséquent, l’instance de bloc-notes ne peut pas entraîner ou héberger des modèles, sauf si votre VPC dispose d’un point de terminaison d’interface (AWS PrivateLink) ou d’une passerelle NAT et que vos groupes de sécurité autorisent les connexions sortantes.
Pour plus d'informations sur la création d'un point de terminaison d'interface VPC à utiliser AWS PrivateLink pour votre instance de bloc-notes, consultez. [Connexion à une instance de bloc-notes via un point de terminaison d’interface VPC.](notebook-interface-endpoint.md) Pour obtenir des informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*. Pour plus d’informations sur les groupes de sécurité, consultez [Groupes de sécurité pour votre VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Pour plus d'informations sur les configurations réseau dans chaque mode réseau et sur la configuration du réseau sur site, consultez [Comprendre les configurations réseau des instances d' SageMaker ordinateurs portables Amazon et les options de routage avancées](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/).
**Avertissement**
Lorsque vous utilisez un VPC pour votre instance de bloc-notes, vous êtes partiellement propriétaire de la configuration de mise en réseau pour l’instance. Comme bonne pratique de sécurité, nous vous recommandons d’appliquer des autorisations de moindre privilège aux accès entrant et sortant que vous autorisez avec vos règles de groupe de sécurité. Si vous appliquez des configurations de règles entrantes trop permissives, les utilisateurs qui ont accès à votre VPC pourraient accéder à vos blocs-notes Jupyter sans s’authentifier.
## Instances de sécurité et de blocs-notes partagés
Une instance de SageMaker bloc-notes est conçue pour fonctionner au mieux pour un utilisateur individuel. Elle est conçue pour offrir aux spécialistes des données et aux autres utilisateurs une puissance maximale pour la gestion de leur environnement de développement.
Un utilisateur d’instance de bloc-notes possède un accès racine pour l’installation de packages et d’autres logiciels pertinents. Nous vous recommandons de bien réfléchir avant d’accorder à des utilisateurs individuels un accès à des instances de bloc-notes attachées à un VPC contenant des informations sensibles. Par exemple, vous pouvez accorder à un utilisateur l’accès à une instance de bloc-notes à l’aide d’une politique IAM, en lui donnant la possibilité de créer une URL de bloc-notes pré-signée, comme illustré dans l’exemple suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------
# Exécution des conteneurs d’entraînement et d’inférence sans accès Internet
SageMaker La formation à l'IA et les conteneurs d'inférence déployés sont compatibles avec Internet par défaut. Ils peuvent ainsi accéder aux services et ressources externes sur l’Internet public dans le cadre de vos charges de travail d’entraînement et d’inférence. Cependant, une voie peut ainsi être ouverte pour l'accès non autorisé à vos données. Par exemple, un utilisateur ou un code malveillant que vous installez accidentellement sur le conteneur (sous la forme d’une bibliothèque de code source accessible au public) peut accéder à vos données et les transférer à un hôte distant.
Si vous utilisez un Amazon VPC en spécifiant une valeur pour le paramètre `VpcConfig` lorsque vous appelez [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), vous pouvez protéger vos données et vos ressources en gérant les groupes de sécurité et en restreignant l’accès Internet à partir de votre VPC. Cependant, c’est au prix d’une configuration réseau supplémentaire et d’un risque de configuration incorrecte de votre réseau. Si vous ne souhaitez pas que l' SageMaker IA fournisse un accès réseau externe à vos conteneurs de formation ou d'inférence, vous pouvez activer l'isolation du réseau.
## Isolement du réseau
Vous pouvez activer l'isolement de réseau lorsque vous créez votre tâche ou votre modèle d'entraînement en définissant la valeur du paramètre `EnableNetworkIsolation` sur `True` lorsque vous appelez [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
**Note**
L’isolement réseau est requis pour exécuter les tâches d’entraînement et les modèles exécutés à l’aide des ressources de AWS Marketplace. Pour plus de sécurité, les AWS Marketplace images s'exécutent au sein d'un Amazon VPC. Elles ont seulement accès aux données de leurs systèmes de fichiers locaux.
Lorsque vous activez l'isolation du réseau, vos conteneurs de formation et d'inférence ne peuvent effectuer aucun appel réseau sortant vers aucun service, y compris Amazon S3. Aucune information AWS d'identification n'est mise à la disposition de l'environnement d'exécution du conteneur. Pour les tâches de formation comportant plusieurs instances, le trafic réseau entrant et sortant est limité à la communication entre pairs du conteneur de formation.
SageMaker L'IA gère toujours toutes les opérations de téléchargement et de chargement nécessaires sur Amazon S3 à l'aide de votre rôle d'exécution SageMaker AI. Cela se produit indépendamment de vos conteneurs d'entraînement et d'inférence, ce qui garantit que vos données d'entraînement et vos artefacts de modèle restent accessibles tout en maintenant l'isolement des conteneurs.
Les conteneurs d' SageMaker IA gérés suivants ne prennent pas en charge l'isolation du réseau car ils nécessitent un accès à Amazon S3 :
+ Chainer
+ SageMaker L'apprentissage par renforcement de l'IA
### Isolement réseau avec un VPC
L’isolement réseau peut être utilisé en association avec un VPC. Dans ce scénario, le téléchargement des données client et des artefacts de modèle sont acheminés via votre sous-réseau VPC. Les conteneurs d’entraînement et d’inférence restent toutefois isolés du réseau et n’ont pas accès aux ressource de votre VPC ou sur Internet.
# Connectez-vous à l' SageMaker IA au sein de votre VPC
Vous pouvez vous connecter directement à l' SageMaker API ou à Amazon SageMaker Runtime via un point de [terminaison d'interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et l'API SageMaker AI ou le Runtime s'effectue de manière entièrement et sécurisée au sein d'un réseau. AWS
## Connectez-vous à l' SageMaker IA via un point de terminaison d'interface VPC
L' SageMaker API et SageMaker AI Runtime prennent en charge les points de terminaison de l'interface [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) alimentés par. [AWS PrivateLink](https://aws.amazon.com/privatelink) Chaque point de terminaison d’un VPC est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) avec des adresses IP privées dans vos sous-réseaux VPC. Par exemple, une application au sein de votre VPC communique AWS PrivateLink avec SageMaker AI Runtime. SageMaker AI Runtime communique à son tour avec le point de terminaison SageMaker AI. L'utilisation vous AWS PrivateLink permet d'invoquer votre point de terminaison SageMaker AI depuis votre VPC, comme indiqué dans le schéma suivant.
![\[\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/security-vpc-SM.png)
Le point de terminaison de l'interface VPC connecte votre VPC directement à l' SageMaker API ou à l' SageMaker AI Runtime AWS PrivateLink sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou de connexion. Direct Connect Les instances de votre VPC n'ont pas besoin de se connecter à l'Internet public pour communiquer avec l' SageMaker API ou SageMaker AI Runtime.
Vous pouvez créer un point de terminaison d' AWS PrivateLink interface pour vous connecter à SageMaker AI ou à SageMaker AI Runtime en utilisant le AWS Management Console ou AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez la section [Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Si vous n'avez pas activé de nom d'hôte DNS (Domain Name System) privé pour votre point de terminaison VPC*, après avoir créé un point de terminaison VPC*, spécifiez l'URL du point de terminaison Internet vers SageMaker l'API ou AI Runtime. SageMaker Voici un exemple de code utilisant des AWS CLI commandes pour spécifier le `endpoint-url` paramètre.
```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Si vous activez les noms d'hôte DNS privés pour votre point de terminaison VPC, vous n'avez pas besoin de spécifier l'URL du point de terminaison, car il s'agit du nom d'hôte par défaut (https://api.sagemaker). *Region*.amazon.com) correspond à votre point de terminaison VPC. De même, le nom d'hôte DNS SageMaker AI Runtime par défaut (https://runtime.sagemaker. *Region*.amazonaws.com) correspond également à votre point de terminaison VPC.
[L' SageMaker API et SageMaker AI Runtime prennent en charge les points de terminaison VPC partout où Amazon [VPC Régions AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) et AI sont disponibles. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) SageMaker L'IA permet de passer des appels vers tous les éléments [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)de votre VPC. Si vous utilisez l’élément `AuthorizedUrl` de la commande [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html), votre trafic passera par le réseau Internet public. Vous ne pouvez pas uniquement utiliser un point de terminaison de VPC pour accéder à l’URL pré-signée, la demande doit passer par la passerelle Internet.
Par défaut, vos utilisateurs peuvent partager l’URL pré-signée avec des personnes extérieures à votre réseau d’entreprise. Pour plus de sécurité, vous devez ajouter des autorisations IAM afin de limiter l’utilisation de l’URL à votre réseau uniquement. Pour plus d'informations sur les autorisations IAM, consultez la section [AWS PrivateLink Fonctionnement avec IAM](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html).
**Note**
Lors de la configuration d'un point de terminaison d'interface VPC pour le service SageMaker AI Runtime (https://runtime.sagemaker. `Region`.amazonaws.com), vous devez vous assurer que le point de terminaison de l'interface VPC est activé dans la zone de disponibilité de votre client pour que la résolution DNS privée fonctionne. Dans le cas contraire, vous risquez de rencontrer des défaillances DNS lorsque vous tentez de résoudre l’URL.
Pour en savoir plus AWS PrivateLink, consultez la [AWS PrivateLink documentation](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink). Consultez [Tarification d'AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/) pour connaître le prix des points de terminaison d'un VPC. Pour en savoir plus sur les VPC et les points de terminaison, consultez [Amazon VPC](https://aws.amazon.com/vpc/). Pour plus d'informations sur l'utilisation de Gestion des identités et des accès AWS politiques basées sur l'identité pour restreindre l'accès à l' SageMaker API et à SageMaker AI Runtime, consultez. [Contrôlez l'accès à l'API SageMaker AI en utilisant des politiques basées sur l'identité](security_iam_id-based-policy-examples.md#api-access-policy)
## Utilisation de SageMaker la formation et de l'hébergement avec les ressources de votre VPC
SageMaker L'IA utilise votre rôle d'exécution pour télécharger et charger des informations depuis un bucket Amazon S3 et Amazon Elastic Container Registry (Amazon ECR), indépendamment de votre conteneur d'entraînement ou d'inférence. Si vous avez des ressources situées dans votre VPC, vous pouvez toujours autoriser l' SageMaker IA à accéder à ces ressources. Les sections suivantes expliquent comment mettre vos ressources à la disposition de l' SageMaker IA avec ou sans isolation du réseau.
### Sans l’isolement réseau activé
Si vous n'avez pas défini l'isolation du réseau pour votre tâche ou votre modèle de formation, l' SageMaker IA peut accéder aux ressources en utilisant l'une des méthodes suivantes.
+ SageMaker les conteneurs d'inférence déployés et de formation peuvent accéder à Internet par défaut. SageMaker Les conteneurs d'IA peuvent accéder à des services et ressources externes sur l'Internet public dans le cadre de vos charges de travail de formation et d'inférence. SageMaker Les conteneurs AI ne sont pas en mesure d'accéder aux ressources de votre VPC sans configuration VPC, comme le montre l'illustration suivante.
![\[\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Utilisez une configuration de VPC pour communiquer avec les ressources situées dans votre VPC via une interface réseau Elastic (ENI). La communication entre le conteneur et les ressources de votre VPC s'effectue de manière sécurisée au sein de votre réseau VPC, comme le montre l'illustration suivante. Dans ce cas, vous gérez l’accès réseau à vos ressources de VPC et à Internet.
![\[\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/security-vpc-config.png)
### Avec l’isolement réseau
Si vous utilisez l'isolation du réseau, le conteneur SageMaker AI ne peut pas communiquer avec les ressources de votre VPC ni effectuer d'appels réseau, comme le montre l'illustration suivante. Si vous fournissez une configuration de VPC, les opérations de téléchargement et de chargement seront exécutées via votre VPC. Pour plus d’informations sur l’hébergement et l’entraînement avec l’isolement réseau lors de l’utilisation d’un VPC, consultez [Isolement du réseau](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation).
![\[\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/images/security-network-isolation-no-config.png)
## Création d'une politique de point de terminaison VPC pour l'IA SageMaker
Vous pouvez créer une politique pour les points de terminaison Amazon VPC pour l' SageMaker IA afin de spécifier les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services avec des points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.
**Note**
Les politiques de point de terminaison VPC ne sont pas prises en charge pour les points de terminaison d'exécution SageMaker AI du Federal Information Processing Standard (FIPS) pour. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
L'exemple de politique de point de terminaison VPC suivant indique que tous les utilisateurs ayant accès au point de terminaison de l'interface VPC sont autorisés à appeler le point de terminaison hébergé par l' SageMaker IA nommé. `myEndpoint`
```
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}
```
Dans cet exemple, les éléments suivants sont refusés :
+ Autres actions d' SageMaker API, telles que `sagemaker:CreateEndpoint` et`sagemaker:CreateTrainingJob`.
+ Invoquer des points de terminaison hébergés par l' SageMaker IA autres que. `myEndpoint`
**Note**
Dans cet exemple, les utilisateurs peuvent toujours effectuer d'autres actions d' SageMaker API en dehors du VPC. Pour obtenir des informations sur la façon de restreindre les appels d’API à ceux situés dans le VPC, consultez [Contrôlez l'accès à l'API SageMaker AI en utilisant des politiques basées sur l'identité](security_iam_id-based-policy-examples.md#api-access-policy).
## Création d'une politique de point de terminaison VPC pour Amazon Feature Store SageMaker
Pour créer un point de terminaison VPC pour Amazon SageMaker Feature Store, utilisez le modèle de point de terminaison suivant, en remplaçant votre et : *VPC\$1Endpoint\$1ID.api* *Region*
`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`
# Connectez-vous à Amazon SageMaker Studio et Studio Classic via un point de terminaison VPC d'interface
Vous pouvez vous connecter à Amazon SageMaker Studio et à Amazon SageMaker Studio Classic depuis votre [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (Amazon VPC) via un point de [terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) dans votre VPC au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison VPC d'interface (point de terminaison d'interface), la communication entre votre VPC et Studio ou Studio Classic s'effectue de manière entièrement et sécurisée au sein du réseau. AWS
Studio et Studio Classic prennent en charge les points de terminaison d’interface alimentés par [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html). Chaque point de terminaison d’interface est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) avec des adresses IP privées dans vos sous-réseaux VPC.
Studio et Studio Classic prennent en charge les points de terminaison d'interface dans toutes les AWS régions où [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/pricing/) et [Amazon VPC](https://aws.amazon.com/vpc/pricing/) sont disponibles.
**Topics**
+ [Création d’un point de terminaison de VPC](#studio-interface-endpoint-create)
+ [Création d’une politique de point de terminaison de VPC pour Studio ou Studio Classic](#studio-private-link-policy)
+ [Autorisation de l’accès uniquement à partir de votre VPC](#studio-private-link-restrict)
## Création d’un point de terminaison de VPC
Vous pouvez créer un point de terminaison d'interface pour vous connecter à Studio ou à Studio Classic à l'aide de la AWS console ou du AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Assurez-vous de créer des points de terminaison d’interface pour tous les sous-réseaux dans votre VPC à partir duquel vous souhaitez vous connecter à Studio et à Studio Classic.
Lorsque vous créez un point de terminaison d’interface, assurez-vous que les groupes de sécurité de votre point de terminaison autorisent l’accès entrant pour le trafic HTTPS à partir des groupes de sécurité associés à Studio et à Studio Classic. Pour plus d’informations, consultez [Contrôler l’accès aux services avec les points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Note**
Outre la création d'un point de terminaison d'interface pour se connecter à Studio et à Studio Classic, créez un point de terminaison d'interface pour vous connecter à l' SageMaker API Amazon. Lorsque les utilisateurs appellent [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)pour obtenir l'URL de connexion à Studio et Studio Classic, cet appel passe par le point de terminaison de l'interface utilisé pour se connecter à l' SageMaker API.
Lorsque vous créez le point de terminaison d’interface, spécifiez **aws.sagemaker.*Region*.studio** comme nom de service pour Studio ou Studio Classic. Une fois que vous avez créé un point de terminaison d’un VPC, activez le DNS privé pour votre point de terminaison. Lorsque vous vous connectez à Studio ou à Studio Classic depuis le VPC à l'aide de l' SageMaker API, de la console ou de la console AWS CLI, vous vous connectez via le point de terminaison de l'interface plutôt que via Internet public. Vous devez également configurer un DNS personnalisé avec des zones hébergées privées pour le point de terminaison Amazon VPC afin que Studio ou Studio Classic puissent accéder à l' SageMaker API en utilisant le point de `api.sagemaker.$region.amazonaws.com` terminaison plutôt qu'en utilisant l'URL du point de terminaison VPC. Pour plus d’informations sur la configuration d’une zone hébergée privée, consultez [Utilisation des zones hébergées privées](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html).
## Création d’une politique de point de terminaison de VPC pour Studio ou Studio Classic
Vous pouvez attacher une politique de point de terminaison Amazon VPC aux points de terminaison de VPC d’interface que vous utilisez pour vous connecter à Studio ou à Studio Classic. La politique de point de terminaison contrôle l’accès à Studio ou à Studio Classic. Vous pouvez spécifier les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour utiliser un point de terminaison VPC avec Studio ou Studio Classic, votre politique de point de terminaison doit autoriser l'`CreateApp`opération sur le type d' KernelGateway application. Cela permet au trafic acheminé vers via le point de terminaison d’un VPC d’appeler l’API `CreateApp`. L'exemple de politique de point de terminaison d'un VPC suivante montre comment autoriser l'opération `CreateApp`.
```
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}
```
Pour plus d’informations, consultez [Contrôler l’accès aux services avec les points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
L'exemple suivant de politique de point de terminaison VPC indique que tous les utilisateurs ayant accès au point de terminaison sont autorisés à accéder aux profils utilisateur du domaine SageMaker AI avec l'ID de domaine spécifié. L’accès aux autres domaines est refusé.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}
```
## Autorisation de l’accès uniquement à partir de votre VPC
Les utilisateurs extérieurs à votre VPC peuvent se connecter à Studio ou à Studio Classic via Internet, même si vous configurez un point de terminaison d’interface dans votre VPC.
Pour autoriser l’accès aux seules connexions effectuées depuis votre VPC, créez une politique Gestion des identités et des accès AWS (IAM) à cet effet. Ajoutez cette politique à chaque utilisateur, groupe ou rôle utilisé pour accéder à Studio ou à Studio Classic. Cette fonctionnalité est uniquement prise en charge lors de l’utilisation du mode IAM pour l’authentification et n’est pas prise en charge en mode IAM Identity Center. Les exemples suivants montrent comment créer de telles politiques.
**Important**
Si vous appliquez une politique IAM similaire à l'un des exemples suivants, les utilisateurs ne peuvent pas accéder à Studio ou à Studio Classic ou à celle spécifiée SageMaker APIs via la console SageMaker AI. Pour accéder à Studio ou Studio Classic, les utilisateurs doivent utiliser une URL présignée ou appeler SageMaker APIs directement le.
**Exemple 1 : Autoriser les connexions uniquement dans le sous-réseau d’un point de terminaison d’interface**
La politique suivante autorise les connexions uniquement pour les appelants dans le sous-réseau où vous avez créé le point de terminaison d’interface.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
**Exemple 2 : Autoriser les connexions uniquement via les points de terminaison d'interface en utilisant `aws:sourceVpce`**
La politique suivante n’autorise les connexions qu’à celles effectuées via les points de terminaison d’interface spécifiés par la clé de condition `aws:sourceVpce`. Par exemple, le point de terminaison de la première interface pourrait autoriser l'accès via la console SageMaker AI. Le deuxième point de terminaison de l'interface pourrait autoriser l'accès via l' SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Cette politique inclut l'action [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html). Généralement, vous appelez `DescribeUserProfile` pour vérifier que l'état du profil utilisateur est `InService` avant d'essayer de vous connecter au domaine. Par exemple :
```
aws sagemaker describe-user-profile \
--domain-id domain-id \
--user-profile-name profile-name
```
Réponse :
```
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}
```
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name
```
Réponse :
```
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}
```
Pour ces deux appels, si vous utilisez une version du AWS SDK publiée avant le 13 août 2018, vous devez spécifier l'URL du point de terminaison dans l'appel. Par exemple, l'exemple suivant illustre un appel à `create-presigned-domain-url` :
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name \
--endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
```
**Exemple 3 : Autoriser les connexions à partir d'adresses IP en utilisant `aws:SourceIp`**
La politique suivante autorise les connexions uniquement à partir de la plage d’adresses IP spécifiée à l’aide de la clé de condition `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Exemple 4 : Autoriser les connexions à partir d’adresses IP via un point de terminaison d’interface en utilisant `aws:VpcSourceIp`**
Si vous accédez à Studio ou à Studio Classic via un point de terminaison d’interface, vous pouvez utiliser la clé de condition `aws:VpcSourceIp` pour autoriser les connexions uniquement à partir de la plage d’adresses IP spécifiée au sein du sous-réseau dans lequel vous avez créé le point de terminaison d’interface, comme indiqué dans la politique suivante :
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Connexion à un serveur MLflow de suivi via un point de terminaison VPC d'interface
Le serveur MLflow de suivi fonctionne dans un Amazon Virtual Private Cloud géré par Amazon SageMaker AI. Vous pouvez vous connecter à un serveur MLflow de suivi depuis un point de terminaison de votre propre VPC. Vos demandes au serveur de suivi ne sont pas exposées au réseau Internet public. Pour plus d'informations sur la connexion de votre VPC à l' SageMaker IA, consultez. [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md)
**Topics**
+ [Création d’un point de terminaison de VPC](mlflow-interface-endpoint-create.md)
+ [Création d'une politique de point de terminaison VPC pour l'IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Autorisation de l’accès uniquement à partir de votre VPC](mlflow-private-link-restrict.md)
# Création d’un point de terminaison de VPC
Vous pouvez créer un point de terminaison d'interface pour vous connecter à l' SageMaker IA MLflow. Pour obtenir des instructions, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Assurez-vous de créer des points de terminaison d'interface pour tous les sous-réseaux de votre VPC à partir desquels vous souhaitez vous connecter à l'IA. SageMaker MLflow
Lorsque vous créez un point de terminaison d’interface, assurez-vous que les groupes de sécurité de votre point de terminaison autorisent l’accès entrant et sortant pour le trafic HTTPS. Pour plus d’informations, consultez [Contrôler l’accès aux services avec les points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Note**
En plus de créer un point de terminaison d'interface pour se connecter à l' SageMaker IA MLflow, créez un point de terminaison d'interface pour vous connecter à l' SageMaker API Amazon. Lorsque les utilisateurs appellent [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)pour obtenir l'URL de connexion à l' SageMaker IA MLflow, cet appel passe par le point de terminaison de l'interface utilisé pour se connecter à l' SageMaker API.
Lorsque vous créez le point de terminaison d’interface, spécifiez le nom du service **aws.sagemaker.*Région AWS*.experiments**. Une fois que vous avez créé un point de terminaison d’un VPC, activez le DNS privé pour votre point de terminaison. Lorsque vous vous connectez à l' SageMaker IA MLflow depuis le VPC à l'aide du SDK SageMaker Python, vous vous connectez via le point de terminaison de l'interface plutôt que via Internet public.
Dans le AWS Management Console, vous pouvez utiliser la procédure suivante pour créer un point de terminaison.
**Pour créer un point de terminaison**
1. Accédez à la [console Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).
1. Accédez à **Points de terminaison**.
1. Choisissez **Créer un point de terminaison**.
1. (Facultatif) Pour **Nom (balise)**, spécifiez un nom pour le point de terminaison.
1. Dans la barre de recherche, sous **Services**, spécifiez **expériences**.
1. Sélectionnez le point de terminaison que vous créez.
1. Pour **VPC**, spécifiez le nom du VPC.
1. Choisissez **Créer un point de terminaison**.
# Création d'une politique de point de terminaison VPC pour l'IA SageMaker MLflow
Vous pouvez associer une politique de point de terminaison Amazon VPC aux points de terminaison VPC d'interface que vous utilisez pour vous connecter à l'IA. SageMaker MLflow La politique du point de terminaison contrôle l'accès à MLflow. Vous pouvez spécifier les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôler l’accès aux services avec les points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
L'exemple suivant de politique de point de terminaison VPC indique que tous les utilisateurs ayant accès au point de terminaison sont autorisés à accéder au serveur de MLflow suivi que vous spécifiez. L’accès aux autres serveurs de suivi est refusé.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Région AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Autorisation de l’accès uniquement à partir de votre VPC
Les utilisateurs extérieurs à votre VPC peuvent se connecter à l' SageMaker IA MLflow ou via Internet même si vous configurez un point de terminaison d'interface dans votre VPC.
Pour autoriser l’accès aux seules connexions effectuées depuis votre VPC, créez une politique Gestion des identités et des accès AWS (IAM) à cet effet. Ajoutez cette politique à chaque utilisateur, groupe ou rôle utilisé pour accéder à l' SageMaker IA MLflow. Cette fonctionnalité est uniquement prise en charge lors de l’utilisation du mode IAM pour l’authentification et n’est pas prise en charge en mode IAM Identity Center. Les exemples suivants montrent comment créer de telles politiques.
**Important**
Si vous appliquez une politique IAM similaire à l'un des exemples suivants, les utilisateurs ne peuvent pas accéder à l' SageMaker IA MLflow par le biais de la console SageMaker AI spécifiée SageMaker APIs . Pour accéder à l' SageMaker IA MLflow, les utilisateurs doivent utiliser une URL présignée ou appeler SageMaker APIs directement le.
**Exemple 1 : Autoriser les connexions uniquement dans le sous-réseau d’un point de terminaison d’interface**
La politique suivante autorise les connexions uniquement pour les appelants dans le sous-réseau où vous avez créé le point de terminaison d’interface.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Exemple 2 : Autoriser les connexions uniquement via les points de terminaison d'interface en utilisant `aws:sourceVpce`**
La politique suivante n’autorise les connexions qu’à celles effectuées via les points de terminaison d’interface spécifiés par la clé de condition `aws:sourceVpce`. Par exemple, le point de terminaison de la première interface pourrait autoriser l'accès via la console SageMaker AI. Le deuxième point de terminaison de l'interface pourrait autoriser l'accès via l' SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Exemple 3 : Autoriser les connexions à partir d’adresses IP en utilisant `aws:SourceIp`**
La politique suivante autorise les connexions uniquement à partir de la plage d’adresses IP spécifiée à l’aide de la clé de condition `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Exemple 4 : Autoriser les connexions à partir d’adresses IP via un point de terminaison d’interface en utilisant `aws:VpcSourceIp`**
Si vous accédez à l' SageMaker IA MLflow via un point de terminaison d'interface, vous pouvez utiliser la clé de `aws:VpcSourceIp` condition pour autoriser les connexions uniquement à partir de la plage d'adresses IP spécifiée au sein du sous-réseau où vous avez créé le point de terminaison d'interface, comme indiqué dans la politique suivante :
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Connexion à une instance de bloc-notes via un point de terminaison d’interface VPC.
Au lieu de vous connecter sur l'Internet public, vous pouvez vous connecter à votre instance de bloc-notes depuis votre VPC via un [point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dans votre Virtual Private Cloud (VPC). Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC et l'instance de bloc-notes est entièrement gérée en toute sécurité au sein du réseau AWS .
SageMaker les instances de bloc-notes prennent en charge les points de terminaison de l'interface [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) alimentés par. [AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Chaque point de terminaison d’un VPC est représenté par une ou plusieurs [interfaces réseau Elastic](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) avec des adresses IP privées dans vos sous-réseaux VPC.
**Note**
Avant de créer un point de terminaison VPC d'interface pour vous connecter à une instance de bloc-notes, créez un point de terminaison VPC d'interface pour vous connecter à l'API. SageMaker De cette manière, quand les utilisateurs appellent [
CreatePresignedNotebookInstanceUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) pour obtenir l'URL afin de se connecter à l'instance de bloc-notes, cet appel passe également par le point de terminaison de VPC d'interface. Pour plus d'informations, consultez [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md).
Vous pouvez créer un point de terminaison d'interface pour vous connecter à votre instance de bloc-notes à l'aide des commandes AWS Management Console or AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint). Assurez-vous de créer un point de terminaison d’interface pour tous les sous-réseaux dans votre VPC à partir duquel vous souhaitez vous connecter à l’instance de bloc-notes.
Lorsque vous créez le point de terminaison de l'interface, spécifiez **aws.sagemaker. *Region*.notebook** comme nom de service. Une fois que vous avez créé un point de terminaison de VPC, activez le DNS privé pour votre point de terminaison de VPC. Toute personne utilisant l' SageMaker API AWS CLI, le ou la console pour se connecter à l'instance de bloc-notes depuis le VPC se connecte à l'instance de bloc-notes via le point de terminaison du VPC plutôt que via Internet public.
SageMaker [les instances de bloc-notes prennent en charge les points de terminaison VPC partout où Amazon [VPC Régions AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) et AI sont disponibles. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region)
**Topics**
+ [Connectez votre réseau privé à votre VPC](#notebook-private-link-vpn-nbi)
+ [Création d'une politique de point de terminaison VPC pour les instances SageMaker AI Notebook](#nbi-private-link-policy)
+ [Limitez l’accès aux connexions depuis votre VPC](#notebook-private-link-restrict)
## Connectez votre réseau privé à votre VPC
Pour vous connecter à votre instance de bloc-notes via votre VPC, vous devez soit vous connecter à partir d'une instance située à l'intérieur du VPC, soit connecter votre réseau privé à votre VPC à l'aide d'un () ou. AWS Virtual Private Network Site-to-Site VPN Direct Connect Pour en savoir plus Site-to-Site VPN, consultez la section [Connexions VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) dans le *guide de l'utilisateur d'Amazon Virtual Private Cloud*. Pour plus d'informations AWS Direct Connect, voir [Création d'une connexion](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) dans le *guide de l'utilisateur de AWS Direct Connect*.
## Création d'une politique de point de terminaison VPC pour les instances SageMaker AI Notebook
Vous pouvez créer une politique pour les points de terminaison Amazon VPC pour les instances de SageMaker blocs-notes afin de spécifier les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services avec des points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.
L'exemple suivant de politique de point de terminaison de VPC spécifie que tous les utilisateurs qui ont accès au point de terminaison sont autorisés à accéder à l'instance de bloc-notes nommée `myNotebookInstance`.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
"Principal": "*"
}
]
}
```
L’accès aux autres instances de bloc-notes est refusé.
## Limitez l’accès aux connexions depuis votre VPC
Même si vous configurez un point de terminaison d’interface dans votre VPC, les personnes extérieures au VPC peuvent se connecter à l’instance de bloc-notes sur Internet.
**Important**
Si vous appliquez une politique IAM similaire à l'une des suivantes, les utilisateurs ne peuvent pas accéder à l'instance spécifiée SageMaker APIs ou à l'instance du bloc-notes via la console.
Pour restreindre l'accès aux seules connexions effectuées depuis votre VPC, créez une politique Gestion des identités et des accès AWS qui restreint l'accès aux seuls appels provenant de votre VPC. Ajoutez ensuite cette politique à chaque Gestion des identités et des accès AWS utilisateur, groupe ou rôle utilisé pour accéder à l'instance du bloc-notes.
**Note**
Cette politique autorise les connexions uniquement pour les mandataires dans un sous-réseau où vous avez créé un point de terminaison d’interface.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Si vous souhaitez restreindre l'accès à l'instance de bloc-notes aux seules connexions effectuées à l'aide du point de terminaison d'interface, utilisez la clé de condition `aws:SourceVpce` au lieu de `aws:SourceVpc:`
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Ces deux exemples de politique supposent que vous avez également créé un point de terminaison d'interface pour l' SageMaker API. Pour de plus amples informations, veuillez consulter [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md). Dans le deuxième exemple, l’une des valeurs pour `aws:SourceVpce` est l’ID du point de terminaison d’interface pour l’instance de bloc-notes. L'autre est l'ID du point de terminaison de l'interface pour l' SageMaker API.
Ici, les exemples de politiques incluent [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) car généralement vous appelez `DescribeNotebookInstance` pour veiller à ce que `NotebookInstanceStatus` soit `InService` avant d'essayer de vous y connecter. Par exemple :
```
aws sagemaker describe-notebook-instance \
--notebook-instance-name myNotebookInstance
{
"NotebookInstanceArn":
"arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
"NotebookInstanceName": "myNotebookInstance",
"NotebookInstanceStatus": "InService",
"Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
"InstanceType": "ml.m4.xlarge",
"RoleArn":
"arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
"LastModifiedTime": 1540334777.501,
"CreationTime": 1523050674.078,
"DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
{
"AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
```
**Note**
L'URL `presigned-notebook-instance-url`, `AuthorizedUrl`, générée peut être utilisée à partir d'un emplacement quelconque sur Internet.
Pour ces deux appels, si vous n'avez pas activé les noms d'hôte DNS privés pour votre point de terminaison VPC, ou si vous utilisez une version du SDK publiée avant AWS le 13 août 2018, vous devez spécifier l'URL du point de terminaison dans l'appel. Par exemple, l'appel à `create-presigned-notebook-instance-url` est :
```
aws sagemaker create-presigned-notebook-instance-url
--notebook-instance-name myNotebookInstance --endpoint-url
VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
```
## Connectez votre réseau privé à votre VPC
Pour appeler l' SageMaker API et SageMaker AI Runtime via votre VPC, vous devez vous connecter depuis une instance située dans le VPC ou connecter votre réseau privé à votre VPC à l'aide d'un () ou. AWS Virtual Private Network Site-to-Site VPN Direct Connect Pour en savoir plus Site-to-Site VPN, consultez la section [Connexions VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) dans le *guide de l'utilisateur d'Amazon Virtual Private Cloud*. Pour plus d'informations AWS Direct Connect, voir [Création d'une connexion](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) dans le *guide de l'utilisateur de AWS Direct Connect*.
# Donnez à l' SageMaker IA un accès aux ressources de votre Amazon VPC
SageMaker L'IA exécute les types de tâches suivants dans un Amazon Virtual Private Cloud par défaut.
+ Traitement
+ Entraînement
+ Hébergement de modèle
+ Transformation par lots
+ Amazon SageMaker Clarifier
+ SageMaker Compilation d'IA
Toutefois, les conteneurs destinés à ces tâches accèdent à des AWS ressources, telles que les compartiments Amazon Simple Storage Service (Amazon S3) dans lesquels vous stockez les données de formation et les artefacts de modèles, via Internet.
Pour contrôler l'accès à vos données et à vos conteneurs de tâches, nous vous recommandons de créer un VPC privé et de le configurer afin qu'ils ne soient pas accessibles via Internet. Pour obtenir des informations sur la création et la configuration d’un VPC, consultez [Démarrer avec Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html) dans le *Guide de l’utilisateur Amazon VPC*. L'utilisation d'un VPC vous permet de protéger vos conteneurs de tâches et vos données, car vous pouvez configurer le VPC afin qu'il ne soit pas connecté à Internet. L'utilisation d'un VPC vous permet également de contrôler tout le trafic réseau entrant et sortant de vos conteneurs de tâches à l'aide des journaux de flux de VPC. Pour plus d’informations, consultez [Journaux de flux VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) dans le *Guide de l’utilisateur Amazon VPC*.
Vous spécifiez votre configuration de VPC privé lors de la création de tâchesen spécifiant les sous-réseaux et les groupes de sécurité. Lorsque vous spécifiez les sous-réseaux et les groupes de sécurité, l' SageMaker IA crée des *interfaces réseau élastiques* associées à vos groupes de sécurité dans l'un des sous-réseaux. Les interfaces réseau permettent à vos conteneurs de tâches de se connecter aux ressources de votre VPC. Pour obtenir des informations sur les interfaces réseau, consultez [Interfaces réseau Elastic](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) dans le *Guide de l’utilisateur Amazon VPC*.
Vous spécifiez une configuration VPC dans l'`VpcConfig`objet de l'[CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)opération ou [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)de l'opération. La spécification d’une configuration de VPC lorsque vous créez une tâche d’entraînement permet à votre modèle d’accéder aux ressources figurant au sein de votre VPC.
La spécification d’une configuration de VPC à elle seule ne modifie pas le chemin d’invocation. Pour vous connecter à Amazon SageMaker AI au sein d'un VPC, créez un point de terminaison VPC et invoquez-le. Pour de plus amples informations, veuillez consulter [Connectez-vous à l' SageMaker IA au sein de votre VPC](interface-vpc-endpoint.md).
**Topics**
+ [Donnez aux tâches de traitement par SageMaker IA un accès aux ressources de votre Amazon VPC](process-vpc.md)
+ [Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC](train-vpc.md)
+ [Donnez aux points de terminaison hébergés par SageMaker IA un accès aux ressources de votre Amazon VPC](host-vpc.md)
+ [Donner aux tâches de transformation des lots l’accès aux ressources de votre Amazon VPC](batch-vpc.md)
+ [Donnez à Amazon SageMaker Clarify Jobs l'accès aux ressources de votre Amazon VPC](clarify-vpc.md)
+ [Donnez aux tâches de compilation SageMaker AI un accès aux ressources de votre Amazon VPC](neo-vpc.md)
+ [Donner aux tâches Inference Recommender l'accès aux ressources de votre VPC Amazon](inference-recommender-vpc-access.md)
# Donnez aux tâches de traitement par SageMaker IA un accès aux ressources de votre Amazon VPC
Pour contrôler l’accès à vos données et aux tâches de traitement, créez un réseau Amazon VPC avec des sous-réseaux privés. Pour en savoir plus sur la création et la configuration d’un VPC, consultez [Démarrer avec Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) dans le *Guide de l’utilisateur Amazon VPC*.
Vous pouvez surveiller tout le trafic réseau entrant et sortant de vos conteneurs de traitement à l’aide des journaux de flux de VPC. Pour plus d’informations, consultez [Journaux de flux VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) dans le *Guide de l’utilisateur Amazon VPC*.
Ce document explique comment ajouter des configurations Amazon VPC pour les tâches de traitement.
## Configurer une tâche de traitement pour un accès Amazon VPC
Vous configurez la tâche de traitement en spécifiant les sous-réseaux et le groupe de sécurité IDs au sein du VPC. Vous n’avez pas besoin de spécifier le sous-réseau pour le conteneur de traitement. Amazon SageMaker AI extrait automatiquement le conteneur de traitement d'Amazon ECR. Pour plus d’informations sur les conteneurs de traitement, consultez [Charges de travail de transformation des données avec Processing SageMaker](processing-job.md).
Lorsque vous créez une tâche de traitement, vous pouvez spécifier des sous-réseaux et des groupes de sécurité dans votre VPC à l'aide de la console AI ou de SageMaker l'API.
Pour utiliser l'API, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le `NetworkConfig.VpcConfig` paramètre de l'[ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)opération. SageMaker L'IA utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les associer aux conteneurs de traitement. Les interfaces réseau fournissent aux conteneurs de traitement une connexion réseau au sein de votre VPC. La tâche de traitement peut ainsi se connecter aux ressources qui existent dans votre VPC.
Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à l’opération `CreateProcessingJob` :
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configurez votre VPC privé pour SageMaker le traitement de l'IA
Lorsque vous configurez le VPC privé pour vos tâches de traitement SageMaker AI, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.
**Topics**
+ [S’assurer que les sous-réseaux ont suffisamment d’adresses IP](#process-vpc-ip)
+ [Création d'un point de terminaison d'un VPC Amazon S3](#process-vpc-s3)
+ [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#process-vpc-policy)
+ [Configuration des tables de routage](#process-vpc-route-table)
+ [Configurer le groupe de sécurité VPC](#process-vpc-groups)
+ [Connexion à des ressources en dehors de votre VPC](#process-vpc-nat)
+ [Surveillez les tâches SageMaker de traitement Amazon à l'aide de CloudWatch journaux et de statistiques](#process-vpc-cloudwatch)
### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de traitement. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.
### Création d'un point de terminaison d'un VPC Amazon S3
Si vous configurez votre VPC afin que les conteneurs de traitement n'aient pas accès à Internet, ces derniers ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données, à moins de créer un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous permettez à vos conteneurs de traitement d’accéder aux compartiments où vous stockez vos données. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Pour créer un point de terminaison de VPC S3 :**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.
1. Pour **Nom du service**, choisissez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.
1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.
1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.
1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#process-vpc-policy).
### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restreindre l’installation de packages sur le conteneur de traitement
La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur de traitement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configuration des tables de routage
Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de traitement sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.
### Configurer le groupe de sécurité VPC
Dans un traitement distribué, vous devez autoriser la communication entre les différents conteneurs d’une même tâche de traitement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour plus d’informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Connexion à des ressources en dehors de votre VPC
Si vous connectez vos modèles à des ressources extérieures au VPC dans lequel ils s'exécutent, effectuez l'une des opérations suivantes :
+ **Connexion à d'autres AWS services** : si votre modèle a besoin d'accéder à un AWS service prenant en charge les points de terminaison Amazon VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez la section [AWS Services intégrés AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) dans le Guide de l' AWS PrivateLink utilisateur. Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section [Accès à un AWS service à l'aide d'un point de terminaison VPC d'](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)interface dans le guide de l'utilisateur. AWS PrivateLink
+ **Connectez-vous aux ressources via Internet** : si vos modèles s'exécutent sur des instances figurant dans un réseau Amazon VPC qui ne possède pas de sous-réseau avec accès à Internet, les modèles n'auront pas accès aux ressources sur Internet. Si votre modèle a besoin d'accéder à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface, ou à une ressource extérieure AWS, assurez-vous d'exécuter vos modèles dans un sous-réseau privé ayant accès à Internet via une passerelle NAT publique dans un sous-réseau public. Une fois vos modèles exécutés dans le sous-réseau privé, configurez vos groupes de sécurité et vos listes de contrôle d'accès réseau (NACLs) pour autoriser les connexions sortantes du sous-réseau privé vers la passerelle NAT publique du sous-réseau public. Pour en savoir plus, consultez [Passerelles NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) dans le Guide de l’utilisateur Amazon VPC.
### Surveillez les tâches SageMaker de traitement Amazon à l'aide de CloudWatch journaux et de statistiques
Amazon SageMaker AI fournit des CloudWatch journaux et des statistiques Amazon pour surveiller les tâches de formation. CloudWatch fournit des mesures relatives au processeur, au processeur graphique, à la mémoire, à la mémoire graphique et au disque, ainsi qu'à la journalisation des événements. Pour plus d'informations sur la surveillance SageMaker des tâches de traitement Amazon, consultez [Métriques Amazon SageMaker AI sur Amazon CloudWatch](monitoring-cloudwatch.md) et[SageMaker Indicateurs de l'emploi liés à](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Donnez aux SageMaker professionnels de formation en IA l'accès aux ressources de votre Amazon VPC
**Note**
Pour les tâches d’entraînement, vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre instance s’exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configuration d’une tâche d’entraînement pour l’accès à Amazon VPC
Pour contrôler l’accès à vos tâches d’entraînement, exécutez-les dans un réseau Amazon VPC doté de sous-réseaux privés sans accès à Internet.
Vous configurez le travail de formation pour qu'il s'exécute dans le VPC en spécifiant ses sous-réseaux et son groupe de sécurité. IDs Vous n’avez pas besoin de spécifier le sous-réseau pour le conteneur de la tâche d’entraînement. Amazon SageMaker AI extrait automatiquement l'image du conteneur de formation depuis Amazon ECR.
Lorsque vous créez une tâche de formation, vous pouvez spécifier les sous-réseaux et les groupes de sécurité de votre VPC à l'aide de la console SageMaker Amazon AI ou de l'API.
Pour utiliser l'API, vous devez spécifier les sous-réseaux et le groupe de sécurité IDs dans le `VpcConfig` paramètre de l'[ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)opération. SageMaker L'IA utilise les détails du sous-réseau et du groupe de sécurité pour créer les interfaces réseau et les attache aux conteneurs de formation. Les interfaces réseau fournissent aux conteneurs d’entraînement une connexion réseau au sein de votre VPC. La tâche d’entraînement peut ainsi se connecter aux ressources qui existent dans votre VPC.
Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à l’opération `CreateTrainingJob` :
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configurez votre VPC privé pour SageMaker la formation à l'IA
Lorsque vous configurez le VPC privé pour vos tâches de formation à l' SageMaker IA, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.
**Topics**
+ [S’assurer que les sous-réseaux ont suffisamment d’adresses IP](#train-vpc-ip)
+ [Création d’un point de terminaison d’un VPC Amazon S3](#train-vpc-s3)
+ [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#train-vpc-policy)
+ [Configuration des tables de routage](#train-vpc-route-table)
+ [Configurer le groupe de sécurité VPC](#train-vpc-groups)
+ [Connexion à des ressources en dehors de votre VPC](#train-vpc-nat)
+ [Surveillez les offres SageMaker de formation Amazon à l'aide de CloudWatch journaux et de statistiques](#train-vpc-cloudwatch)
### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
Les instances d'entraînement qui *n'utilisent pas* de périphérique Elastic Fabric Adapter (EFA) doivent disposer d'au moins 2 adresses IP privées. Les instances d'entraînement qui utilisent un périphérique EFA doivent disposer d'au moins 5 adresses IP privées. Pour plus d'informations, consultez [Plusieurs adresses IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) dans le Guide de l'utilisateur Amazon EC2.
Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche d’entraînement. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.
### Création d’un point de terminaison d’un VPC Amazon S3
Si vous configurez votre VPC afin que les conteneurs d'entraînement n'aient pas accès à Internet, ils ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données d'entraînement, sauf si vous créez un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous permettez à vos conteneurs d’entraînement d’accéder aux compartiments où vous stockez vos données et les artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Pour créer un point de terminaison de VPC S3 :**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.
1. Pour le **nom du service**, recherchez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.
1. Choisissez le type **Passerelle**.
1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.
1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.
1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#train-vpc-policy).
### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restreindre l’installation de packages sur le conteneur d’entraînement
La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur d'entraînement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configuration des tables de routage
Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de formation sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.
### Configurer le groupe de sécurité VPC
Dans un entraînement distribué, vous devez autoriser la communication entre les différents conteneurs d’une même tâche d’entraînement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour les instances activées pour EFA, assurez-vous que les connexions entrantes et sortantes autorisent tout le trafic provenant du même groupe de sécurité. Pour plus d'informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) dans le *Guide de l'utilisateur Amazon Virtual Private Cloud*.
### Connexion à des ressources en dehors de votre VPC
Si vous configurez votre VPC de façon à ce qu’il ne dispose pas d’un accès Internet, les tâches d’entraînement qui utilisent ce VPC n’ont pas accès aux ressources en dehors de votre VPC. Si vos tâches d’entraînement ont besoin d’accéder à des ressources en dehors de votre VPC, fournissez-leur l’accès en effectuant l’une des actions suivantes :
+ Si votre stage de formation nécessite l'accès à un AWS service prenant en charge les points de terminaison VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d'interface, consultez [Points de terminaison d'un VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) (langue française non garantie) dans le *Guide de l'utilisateur Amazon VPC*. Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section Interface [VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) dans le guide de l'utilisateur d'*Amazon Virtual Private* Cloud.
+ Si votre stage de formation nécessite l'accès à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface ou à une ressource extérieure AWS, créez une passerelle NAT et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d’informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.
### Surveillez les offres SageMaker de formation Amazon à l'aide de CloudWatch journaux et de statistiques
Amazon SageMaker AI fournit des CloudWatch journaux et des statistiques Amazon pour surveiller les tâches de formation. CloudWatch fournit des mesures relatives au processeur, au processeur graphique, à la mémoire, à la mémoire graphique et au disque, ainsi qu'à la journalisation des événements. Pour plus d'informations sur le suivi des offres de SageMaker formation Amazon, consultez [Métriques Amazon SageMaker AI sur Amazon CloudWatch](monitoring-cloudwatch.md) et[SageMaker Indicateurs de l'emploi liés à](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Donnez aux points de terminaison hébergés par SageMaker IA un accès aux ressources de votre Amazon VPC
## Configuration d’un modèle pour l’accès à Amazon VPC
Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `VpcConfig` le paramètre de requête de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)l'API ou fournissez ces informations lorsque vous créez un modèle dans SageMaker la console AI. SageMaker L'IA utilise ces informations pour créer des interfaces réseau et les associer à vos modèles de conteneurs. Les interfaces réseau fournissent à vos conteneurs de modèles une connexion réseau au sein de votre VPC qui n'est pas connecté à Internet. Elles permettent également à votre modèle de se connecter aux ressources de votre VPC privé.
**Note**
Vous devez créer au moins deux sous-réseaux dans des zones de disponibilité distinctes dans votre VPC privé, même si vous n’avez qu’une seule instance d’hébergement.
Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateModel` :
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configurez votre VPC privé pour SageMaker l'hébergement AI
Lorsque vous configurez le VPC privé pour vos modèles d' SageMaker IA, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.
**Topics**
+ [S’assurer que les sous-réseaux ont suffisamment d’adresses IP](#host-vpc-ip)
+ [Création d’un point de terminaison d’un VPC Amazon S3](#host-vpc-s3)
+ [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à Amazon S3](#host-vpc-policy)
+ [Ajout d'autorisations d'accès au point de terminaison pour les conteneurs s'exécutant dans un VPC aux politiques IAM personnalisées](#host-vpc-endpoints)
+ [Configuration des tables de routage](#host-vpc-route-table)
+ [Connexion à des ressources en dehors de votre VPC](#model-vpc-nat)
### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
Les instances d'entraînement qui n'utilisent pas de périphérique Elastic Fabric Adapter (EFA) doivent disposer d'au moins 2 adresses IP privées. Les instances d'entraînement qui utilisent un périphérique EFA doivent disposer d'au moins 5 adresses IP privées. Pour plus d'informations, consultez [Plusieurs adresses IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) dans le Guide de l'utilisateur Amazon EC2.
### Création d’un point de terminaison d’un VPC Amazon S3
Si vous configurez votre VPC afin que les conteneurs de modèle n'aient pas accès à Internet, ces derniers ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données, sauf si vous créez un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous autorisez vos conteneurs de modèle à accéder aux compartiments où vous stockez vos données et artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Pour créer un point de terminaison d'un VPC Amazon S3 :**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.
1. Pour **Nom du service**, choisissez **com.amazonaws. *region*.s3**, où *region* est le nom de la AWS région dans laquelle réside votre VPC.
1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.
1. Pour **Configure route tables (Configurer les tables de routage)**, choisissez les tables de routage qui seront utilisées par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous choisissez et qui dirige le trafic Amazon S3 vers le nouveau point de terminaison.
1. Pour **Politique**, choisissez **Accès total** pour autoriser un accès total au service Amazon S3 par n’importe quel utilisateur ou service au sein du VPC. Pour restreindre davantage l'accès, choisissez **Custom (Personnalisé)**. Pour de plus amples informations, veuillez consulter [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à Amazon S3](#host-vpc-policy).
### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à Amazon S3
La politique de point de terminaison par défaut autorise un accès total à Amazon Simple Storage Service (Amazon S3) pour n'importe quel utilisateur ou service de votre VPC. Pour limiter l'accès à Amazon S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).
Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restriction de l'installation de packages sur le conteneur de modèles à l'aide d'une politique de point de terminaison personnalisée
La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur de modèles. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ces référentiels, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Ajout d'autorisations d'accès au point de terminaison pour les conteneurs s'exécutant dans un VPC aux politiques IAM personnalisées
La politique gérée `SageMakerFullAccess` inclut les autorisations dont vous avez besoin pour utiliser des modèles configurés pour l’accès à l’Amazon VPC avec un point de terminaison. Ces autorisations permettent à l' SageMaker IA de créer une interface réseau élastique et de l'associer à des conteneurs modèles exécutés dans un VPC. Si vous utilisez votre propre politique IAM, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l’accès au VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur la politique gérée `SageMakerFullAccess`, consultez [AWS politique gérée : AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configuration des tables de routage
Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos modèles sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.
### Connexion à des ressources en dehors de votre VPC
Si vous configurez votre VPC de façon à ce qu’il ne dispose pas d’un accès Internet, les modèles qui utilisent ce VPC n’ont pas accès aux ressources en dehors de votre VPC. Si votre modèle a besoin d’accéder à des ressources en dehors de votre VPC, fournissez-lui l’accès en effectuant l’une des actions suivantes :
+ Si votre modèle a besoin d'accéder à un AWS service qui prend en charge les points de terminaison VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d’interface, consultez [Points de terminaison d’un VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) dans le *Guide de l’utilisateur Amazon VPC*. *Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section [Points de terminaison VPC d'interface () dans le guide de AWS PrivateLink l'](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)utilisateur Amazon VPC.*
+ Si votre modèle a besoin d'accéder à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface ou à une ressource extérieure AWS, créez une passerelle NAT et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d’informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.
# Donner aux tâches de transformation des lots l’accès aux ressources de votre Amazon VPC
Pour contrôler l’accès à vos données et à vos tâches de transformation par lots, nous vous recommandons de créer un Amazon VPC privé et de le configurer afin que vos tâches ne soient pas accessibles sur l’Internet public. Vous spécifiez votre configuration de VPC lors de la création d’un modèle en spécifiant les sous-réseaux et les groupes de sécurité. Ensuite, vous spécifiez le même modèle lorsque vous créez une tâche de transformation par lots. Lorsque vous spécifiez les sous-réseaux et les groupes de sécurité, l' SageMaker IA crée des *interfaces réseau élastiques* associées à vos groupes de sécurité dans l'un des sous-réseaux. Les interfaces réseau permettent à vos conteneurs de modèles de se connecter aux ressources de votre VPC. Pour obtenir des informations sur les interfaces réseau, consultez [Interfaces réseau Elastic](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) dans le *Guide de l’utilisateur Amazon VPC*.
Ce document explique comment ajouter des configurations Amazon VPC pour les tâches de transformation par lots.
## Configuration d’une tâche de transformation par lots pour l’accès à Amazon VPC
Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `VpcConfig` le paramètre de requête de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)l'API ou fournissez ces informations lorsque vous créez un modèle dans SageMaker la console AI. Spécifiez ensuite le même modèle dans le paramètre de `ModelName` requête de l'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)API ou dans le champ **Nom du modèle** lorsque vous créez une tâche de transformation dans la console SageMaker AI. SageMaker L'IA utilise ces informations pour créer des interfaces réseau et les associer à vos modèles de conteneurs. Les interfaces réseau fournissent à vos conteneurs de modèles une connexion réseau au sein de votre VPC qui n’est pas connecté à Internet. Elles permettent également à votre tâche de transformation par lots de se connecter aux ressources de votre VPC privé.
Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateModel` :
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Si vous créez un modèle à l'aide de l'opération d'API `CreateModel`, le rôle d'exécution IAM que vous utilisez pour créer votre modèle doit inclure les autorisations décrites dans [CreateModel API : autorisations relatives aux rôles d'exécution](sagemaker-roles.md#sagemaker-roles-createmodel-perms), y compris les autorisations suivantes requises pour un VPC privé.
Lorsque vous créez un modèle dans la console, si vous sélectionnez **Créer un nouveau rôle** dans la section **Paramètres du modèle**, la [AmazonSageMakerFullAccess ](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor)politique utilisée pour créer le rôle contient déjà ces autorisations. Si vous sélectionnez **Enter a custom IAM role ARN (Entrer un ARN de rôle IAM personnalisé)** ou **Use existing role (Utiliser un rôle existant)**, l’ARN de rôle que vous spécifiez doit avoir une politique d’exécution associée aux autorisations suivantes.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
```
## Configurez votre VPC privé pour AI SageMaker Batch Transform
Lorsque vous configurez le VPC privé pour vos tâches de transformation par lots SageMaker AI, suivez les instructions suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.
**Topics**
+ [S’assurer que les sous-réseaux ont suffisamment d’adresses IP](#batch-vpc-ip)
+ [Création d’un point de terminaison d’un VPC Amazon S3](#batch-vpc-s3)
+ [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#batch-vpc-policy)
+ [Configuration des tables de routage](#batch-vpc-route-table)
+ [Configurer le groupe de sécurité VPC](#batch-vpc-groups)
+ [Connexion à des ressources en dehors de votre VPC](#batch-vpc-nat)
### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de transformation. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.
### Création d’un point de terminaison d’un VPC Amazon S3
Si vous configurez votre VPC afin que les conteneurs de modèle n'aient pas accès à Internet, ces derniers ne peuvent pas se connecter aux compartiments Amazon S3 qui contiennent vos données, sauf si vous créez un point de terminaison d'un VPC autorisant l'accès. En créant un point de terminaison de VPC, vous autorisez vos conteneurs de modèle à accéder aux compartiments où vous stockez vos données et artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Pour créer un point de terminaison de VPC S3 :**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.
1. Pour **Nom du service**, choisissez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.
1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.
1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.
1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#batch-vpc-policy).
### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restreindre l’installation de packages sur le conteneur de modèles
La politique de point de terminaison par défaut permet aux utilisateurs d'installer des packages à partir des référentiels Amazon Linux et Amazon Linux 2 sur le conteneur d'entraînement. Si vous ne voulez pas que les utilisateurs installent des packages à partir de ce référentiel, créez une politique de point de terminaison personnalisée qui refuse explicitement l'accès aux référentiels Amazon Linux et Amazon Linux 2. Voici un exemple de politique qui refuse l'accès à ces référentiels :
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configuration des tables de routage
Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de transformation par lots sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.
### Configurer le groupe de sécurité VPC
Dans une transformation par lots distribuée, vous devez autoriser la communication entre les différents conteneurs d’une même tâche de transformation. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes et sortantes entre les membres d'un même groupe de sécurité. Les membres d'un même groupe de sécurité doivent pouvoir communiquer entre eux sur tous les ports. Pour plus d’informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Connexion à des ressources en dehors de votre VPC
Si vous configurez votre VPC de façon à ce qu’il ne dispose pas d’un accès Internet, les tâches de transformation par lots qui utilisent ce VPC n’ont pas accès aux ressources en dehors de votre VPC. Si vos tâches de transformation par lots ont besoin d’accéder à des ressources en dehors de votre VPC, accordez-leur l’accès en effectuant l’une des actions suivantes :
+ Si votre tâche de transformation par lots nécessite l'accès à un AWS service prenant en charge les points de terminaison VPC d'interface, créez un point de terminaison pour vous connecter à ce service. Pour obtenir la liste des services qui prennent en charge les points de terminaison d’interface, consultez [Points de terminaison d’un VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) dans le *Guide de l’utilisateur Amazon VPC*. *Pour plus d'informations sur la création d'un point de terminaison VPC d'interface, consultez la section [Points de terminaison VPC d'interface () dans le guide de AWS PrivateLink l'](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)utilisateur Amazon VPC.*
+ Si votre tâche de transformation par lots nécessite l'accès à un AWS service qui ne prend pas en charge les points de terminaison VPC d'interface ou à une ressource extérieure AWS, créez une passerelle NAT et configurez vos groupes de sécurité pour autoriser les connexions sortantes. Pour plus d’informations sur la configuration d’une passerelle NAT pour votre VPC, consultez [Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.
# Donnez à Amazon SageMaker Clarify Jobs l'accès aux ressources de votre Amazon VPC
Pour contrôler l'accès à vos données et SageMaker clarifier les tâches, nous vous recommandons de créer un Amazon VPC privé et de le configurer de manière à ce que vos tâches ne soient pas accessibles sur Internet public. Pour plus d'informations sur la création et la configuration d'un Amazon VPC pour le traitement des tâches, consultez [Autoriser les tâches de SageMaker traitement à accéder aux ressources de votre Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc).
Ce document explique comment ajouter des configurations Amazon VPC supplémentaires répondant aux exigences des tâches SageMaker Clarify.
**Topics**
+ [Configurer une tâche SageMaker Clarify pour Amazon VPC Access](#clarify-vpc-config)
+ [Configurez votre Amazon VPC privé pour SageMaker les tâches Clarify](#clarify-vpc-vpc)
## Configurer une tâche SageMaker Clarify pour Amazon VPC Access
Vous devez spécifier des sous-réseaux et des groupes de sécurité lors de la configuration de votre Amazon VPC privé pour les tâches Clarify et SageMaker pour permettre à la tâche d'obtenir des inférences à partir du modèle d'IA lors du calcul des mesures de biais après SageMaker l'entraînement et des contributions aux fonctionnalités qui aident à expliquer les prédictions du modèle.
**Topics**
+ [SageMaker Clarifier les sous-réseaux et groupes de sécurité Amazon VPC de Job](#clarify-vpc-job)
+ [Configuration d’un modèle Amazon VPC pour l’inférence](#clarify-vpc-model)
### SageMaker Clarifier les sous-réseaux et groupes de sécurité Amazon VPC de Job
Les sous-réseaux et les groupes de sécurité de votre Amazon VPC privé peuvent être affectés à SageMaker une tâche Clarify de différentes manières, en fonction de la manière dont vous créez la tâche.
+ **SageMaker Console AI** : fournissez ces informations lorsque vous créez la tâche dans le tableau de **bord SageMaker AI**. De le menu **Processing (Traitement)**, choisissez **Processing jobs (Tâches de traitement)**, puis choisissez **Create processing job (Créer une tâche de traitement)**. Sélectionnez l’option **VPC** dans le panneau **Network** (Réseau) et indiquez les sous-réseaux et les groupes de sécurité à l’aide des listes déroulantes. Assurez-vous que l'option d'isolement réseau fournie dans ce panneau est désactivée.
+ **SageMaker API** : utilisez le paramètre de `NetworkConfig.VpcConfig` requête de l'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API, comme indiqué dans l'exemple suivant :
```
"NetworkConfig": {
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
}
```
+ **SageMaker SDK Python** : utilisez le `NetworkConfig` paramètre de l'[https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API ou de l'[https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)API, comme indiqué dans l'exemple suivant :
```
from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
subnets=[
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2",
],
security_group_ids=[
"sg-0123456789abcdef0",
],
)
```
SageMaker L'IA utilise les informations pour créer des interfaces réseau et les associer à la tâche SageMaker Clarify. Les interfaces réseau fournissent une tâche SageMaker Clarify avec une connexion réseau au sein de votre Amazon VPC qui n'est pas connectée à l'Internet public. Ils permettent également à la tâche SageMaker Clarify de se connecter aux ressources de votre Amazon VPC privé.
**Note**
L'option d'isolation réseau de la tâche SageMaker Clarify doit être désactivée (par défaut, elle est désactivée) afin que la tâche SageMaker Clarify puisse communiquer avec le point de terminaison fantôme.
### Configuration d’un modèle Amazon VPC pour l’inférence
Afin de calculer les mesures de biais et l'explicabilité après l'entraînement, la tâche SageMaker Clarify doit obtenir des inférences à partir du modèle d' SageMaker IA spécifié par le `model_name` paramètre de [configuration d'analyse](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) pour la SageMaker tâche de traitement Clarify. Sinon, si vous utilisez l'`SageMakerClarifyProcessor`API du SDK SageMaker AI Python, la tâche doit obtenir la valeur `model_name` spécifiée par la [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)classe. Pour ce faire, la tâche SageMaker Clarify crée un point de terminaison éphémère avec le modèle, connu sous le nom de point de *terminaison fantôme*, puis applique la configuration Amazon VPC du modèle au point de terminaison fantôme.
Pour spécifier des sous-réseaux et des groupes de sécurité dans votre Amazon VPC privé pour SageMaker le modèle AI, utilisez le paramètre de requête de `VpcConfig` [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel)l'API ou fournissez ces informations lorsque vous créez le modèle à l'aide du tableau de bord AI de SageMaker la console. Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateModel` :
```
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Vous pouvez spécifier le nombre d'instances du point de terminaison fantôme à lancer à l'aide du `initial_instance_count` paramètre de [configuration d'analyse](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) pour la tâche de traitement SageMaker Clarify. Sinon, si vous utilisez l'`SageMakerClarifyProcessor`API du SDK SageMaker AI Python, la tâche doit obtenir la valeur `instance_count` spécifiée par la [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)classe.
**Note**
Même si vous ne demandez qu'une seule instance lors de la création du point de terminaison fantôme, vous avez besoin d'au moins deux sous-réseaux dans le modèle, [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)dans des zones de disponibilité distinctes. Sinon, la création du point de terminaison fantôme échoue avec l'erreur suivante :
ClientError: Erreur lors de l'hébergement du point de terminaison sagemaker-clarify-endpoint-XXX : échec. Raison : Impossible de localiser au moins 2 zones de disponibilité avec le type d'instance demandé YYY qui se chevauchent avec des sous-réseaux SageMaker AI.
Si votre modèle nécessite des fichiers de modèle dans Amazon S3, le modèle Amazon VPC doit disposer d’un point de terminaison de VPC Amazon S3. Pour plus d'informations sur la création et la configuration d'un Amazon VPC pour les modèles d' SageMaker IA, consultez. [Donnez aux points de terminaison hébergés par SageMaker IA un accès aux ressources de votre Amazon VPC](host-vpc.md)
## Configurez votre Amazon VPC privé pour SageMaker les tâches Clarify
En général, vous pouvez suivre les étapes décrites dans [Configurer votre VPC privé pour le SageMaker traitement afin de configurer votre VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc) Amazon privé pour les tâches Clarify. SageMaker Voici quelques points saillants et exigences particulières pour les tâches SageMaker Clarify.
**Topics**
+ [Connexion à des ressources en dehors de votre Amazon VPC](#clarify-vpc-nat)
+ [Configurer le groupe de sécurité Amazon VPC](#clarify-vpc-security-group)
### Connexion à des ressources en dehors de votre Amazon VPC
Si vous configurez votre Amazon VPC de manière à ce qu'il ne dispose pas d'un accès public à Internet, une configuration supplémentaire est nécessaire pour permettre aux tâches SageMaker Clarify d'accéder à des ressources et à des services extérieurs à votre Amazon VPC. Par exemple, un point de terminaison Amazon S3 VPC est requis car une tâche SageMaker Clarify doit charger un ensemble de données à partir d'un compartiment S3 et enregistrer les résultats de l'analyse dans un compartiment S3. Pour plus d’informations, consultez [Créer un point de terminaison de VPC Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3) pour le guide de création. En outre, si une tâche SageMaker Clarify doit obtenir des déductions à partir du point de terminaison fantôme, elle doit appeler plusieurs autres AWS services.
+ **Créer un point de terminaison VPC du service d' SageMaker API Amazon** : la tâche SageMaker Clarify doit appeler le service d' SageMaker API Amazon pour manipuler le point de terminaison fantôme ou pour décrire un modèle d' SageMaker IA pour la validation d'Amazon VPC. Vous pouvez suivre les instructions fournies dans le AWS PrivateLink blog [Sécuriser tous les appels d' SageMaker API Amazon avec](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/) pour créer un point de terminaison VPC Amazon SageMaker API permettant à la tâche SageMaker Clarify de passer les appels de service. Notez que le nom du service Amazon SageMaker API est`com.amazonaws.region.sagemaker.api`, où *region* est le nom de la région où réside votre Amazon VPC.
+ **Créez un point de terminaison VPC Amazon SageMaker AI Runtime** : la tâche SageMaker Clarify doit appeler le service d'exécution Amazon SageMaker AI, qui achemine les appels vers le point de terminaison fantôme. Les étapes de configuration sont similaires à celles du service Amazon SageMaker API. Notez que le nom du service Amazon SageMaker AI Runtime est`com.amazonaws.region.sagemaker.runtime`, où *region* est le nom de la région où réside votre Amazon VPC.
### Configurer le groupe de sécurité Amazon VPC
SageMaker Les tâches Clarify prennent en charge le traitement distribué lorsque deux instances de traitement ou plus sont spécifiées de l'une des manières suivantes :
+ **SageMaker Console AI** : le **nombre d'instances** est spécifié dans la partie **Configuration des ressources** du panneau des **paramètres de la tâche** sur la page **Créer une tâche de traitement**.
+ **SageMaker API** : elle `InstanceCount` est spécifiée lorsque vous créez la tâche avec l'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API.
+ **SageMaker SDK Python** : le `instance_count` est spécifié lors de l'utilisation de l'[SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API ou de l'API du [processeur](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor).
Dans un traitement distribué, vous devez autoriser la communication entre les différentes instances d'une même tâche de traitement. Pour ce faire, configurez une règle pour votre groupe de sécurité qui autorise les connexions entrantes entre les membres du même groupe de sécurité. Pour obtenir des informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
# Donnez aux tâches de compilation SageMaker AI un accès aux ressources de votre Amazon VPC
**Note**
Pour les tâches de compilation, vous pouvez uniquement configurer des sous-réseaux avec un VPC de location par défaut dans lequel votre tâche s’exécute sur un matériel partagé. Pour plus d'informations sur l'attribut de location pour VPCs, consultez [Instances dédiées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configuration d’une tâche de compilation pour l’accès à Amazon VPC
Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `VpcConfig` le paramètre de requête de [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)l'API ou fournissez ces informations lorsque vous créez une tâche de compilation dans SageMaker la console AI. SageMaker AI Neo utilise ces informations pour créer des interfaces réseau et les associer à vos tâches de compilation. Les interfaces réseau fournissent à vos tâches de compilation une connexion réseau au sein de votre VPC qui n’est pas connecté à Internet. Elles permettent également à votre tâche de compilation de se connecter aux ressources de votre VPC privé. Voici un exemple du paramètre `VpcConfig` que vous incluez dans votre appel à `CreateCompilationJob` :
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configurez votre VPC privé pour SageMaker la compilation AI
Lorsque vous configurez le VPC privé pour vos tâches de compilation SageMaker AI, suivez les directives suivantes. Pour plus d'informations sur la configuration d'un VPC, consultez la section [Utilisation des sous-réseaux VPCs et des sous-réseaux](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) dans le guide de l'utilisateur Amazon *VPC*.
**Topics**
+ [S’assurer que les sous-réseaux ont suffisamment d’adresses IP](#neo-vpc-ip)
+ [Création d’un point de terminaison d’un VPC Amazon S3](#neo-vpc-s3)
+ [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](#neo-vpc-policy)
+ [Configuration des tables de routage](#neo-vpc-route-table)
+ [Configurer le groupe de sécurité VPC](#neo-vpc-groups)
### S’assurer que les sous-réseaux ont suffisamment d’adresses IP
Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de compilation. Pour plus d'informations, consultez la section relative au [dimensionnement des VPC et des sous-réseaux dans le guide de l' IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4)utilisateur Amazon *VPC*.
### Création d’un point de terminaison d’un VPC Amazon S3
Si vous configurez votre VPC pour bloquer l'accès à Internet, SageMaker Neo ne peut pas se connecter aux compartiments Amazon S3 contenant vos modèles, sauf si vous créez un point de terminaison VPC autorisant l'accès. En créant un point de terminaison VPC, vous autorisez vos tâches de compilation SageMaker Neo à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle. Nous vous recommandons de créer également une politique personnalisée autorisant uniquement les demandes d'accès à vos compartiments S3 provenant de votre VPC privé. Pour plus d’informations, consultez [Points de terminaison pour Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Pour créer un point de terminaison de VPC S3 :**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.
1. Pour le **nom du service**, recherchez **com.amazonaws. *region*.s3**, où *region* est le nom de la région où réside votre VPC.
1. Choisissez le type **Passerelle**.
1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.
1. Pour **Configure route tables (Configurer les tables de routage)**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic S3 vers le nouveau point de terminaison.
1. Pour **Policy** (Politique), choisissez **Full Access (Accès total)** pour autoriser un accès total au service S3 par n'importe quel utilisateur ou service au sein du VPC. Choisissez **Personnalisé** pour restreindre l’accès davantage. Pour plus d'informations, consultez [Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3](train-vpc.md#train-vpc-policy).
### Utilisez une politique de point de terminaison personnalisée pour limiter l'accès à S3
Par défaut, la politique de point de terminaison autorise un accès total à S3 pour n'importe quel utilisateur ou service au sein de votre VPC. Pour limiter l'accès à S3, créez une politique de point de terminaison personnalisé. Pour plus d’informations, consultez [Utilisation des politiques de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Vous pouvez également utiliser une politique de compartiment pour restreindre l'accès à vos compartiments S3 uniquement au trafic issu de votre Amazon VPC. Pour obtenir des informations, consultez [Utilisation de politiques de compartiment Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Voici un exemple de politique personnalisée :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Ajouter des autorisations pour la tâche de compilation en cours d'exécution dans un VPC Amazon à des politiques IAM personnalisées
La politique gérée `SageMakerFullAccess` inclut les autorisations dont vous avez besoin pour utiliser des modèles configurés pour l'accès à l'Amazon VPC avec un point de terminaison. Ces autorisations permettent à SageMaker Neo de créer une interface réseau élastique et de l'associer à une tâche de compilation exécutée dans un Amazon VPC. Si vous utilisez votre propre politique IAM, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l'accès à Amazon VPC.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Pour plus d’informations sur la politique gérée `SageMakerFullAccess`, consultez [AWS politique gérée : AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configuration des tables de routage
Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de compilation sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.
### Configurer le groupe de sécurité VPC
Dans votre groupe de sécurité pour la tâche de compilation, vous devez autoriser la communication sortante vers vos points de terminaison d'un VPC Amazon S3 et les plages CIDR de sous-réseau utilisées pour la tâche de compilation. Pour obtenir des informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) et [Contrôler l’accès aux services avec les points de terminaison Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).
# Donner aux tâches Inference Recommender l'accès aux ressources de votre VPC Amazon
**Note**
Inference Recommender vous demande d'enregistrer votre modèle auprès de Model Registry. Notez que Model Registry n'autorise pas la restriction VPC de vos artefacts de modèle ou de votre image Amazon ECR.
Inference Recommender exige également que votre exemple de charge utile Amazon S3 ne soit pas soumis à une restriction VPC. Pour les tâches de recommandation d’inférence, vous ne pouvez pas créer une politique personnalisée autorisant uniquement les demandes d’accès à vos compartiments S3 provenant de votre VPC privé.
Pour spécifier des sous-réseaux et des groupes de sécurité dans votre VPC privé, utilisez `RecommendationJobVpcConfig` le paramètre de requête de [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)l'API ou spécifiez vos sous-réseaux et groupes de sécurité lorsque vous créez une tâche de recommandation dans SageMaker la console AI.
Inference Recommender utilise ces informations pour créer des points de terminaison. Lors du provisionnement de points de terminaison, l' SageMaker IA crée des interfaces réseau et les attache à vos points de terminaison. Les interfaces réseau fournissent à vos points de terminaison une connexion réseau à votre VPC. Voici un exemple du paramètre `VpcConfig` que vous incluez dans un appel à `CreateInferenceRecommendationsJob` :
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Pour plus d’informations sur la configuration de votre VPC Amazon pour une utilisation avec les tâches Inference Recommender, consultez les rubriques suivantes.
**Topics**
+ [S'assurer que les sous-réseaux ont suffisamment d'adresses IP](#inference-recommender-vpc-access-subnets)
+ [Création d'un point de terminaison d'un VPC Amazon S3](#inference-recommender-vpc-access-endpoint)
+ [Ajouter des autorisations pour les tâches Inference Recommender dans un VPC Amazon à des politiques IAM personnalisées](#inference-recommender-vpc-access-permissions)
+ [Configuration des tables de routage](#inference-recommender-vpc-access-route-tables)
+ [Configurer le groupe de sécurité VPC](#inference-recommender-vpc-access-security-group)
## S'assurer que les sous-réseaux ont suffisamment d'adresses IP
Vos sous-réseaux VPC doivent avoir au moins deux adresses IP privées pour chaque instance dans une tâche de recommandation d'inférence. Pour plus d’informations sur les sous-réseaux et les adresses IP privées, consultez [Fonctionnement d’Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) dans le *Guide de l’utilisateur Amazon VPC*.
## Création d'un point de terminaison d'un VPC Amazon S3
Si vous configurez votre VPC pour bloquer l’accès à Internet, Inference Recommender ne peut pas se connecter aux compartiments Amazon S3 qui contiennent vos modèles, sauf si vous créez un point de terminaison d’un VPC autorisant l’accès. En créant un point de terminaison VPC, vous autorisez vos tâches de recommandation d'inférence basées sur l' SageMaker IA à accéder aux compartiments dans lesquels vous stockez vos données et vos artefacts de modèle.
Pour créer un point de terminaison d’un VPC Amazon S3, procédez comme suit :
1. Ouvrez la [console VPC Amazon](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoints (Points de terminaison)**, puis **Create Endpoint (Créer un point de terminaison)**.
1. Pour **Service Name** (Nom de service), recherchez `com.amazonaws.region.s3`, où `region` correspond au nom de la région où se trouve votre VPC.
1. Choisissez le type **Passerelle**.
1. Pour **VPC**, choisissez le VPC que vous voulez utiliser pour ce point de terminaison.
1. Pour **Configurer les tables de routage**, sélectionnez les tables de routage à utiliser par le point de terminaison. Le service de VPC ajoute automatiquement un routage à chaque table de routage que vous sélectionnez et qui dirige le trafic Amazon S3 vers le nouveau point de terminaison.
1. Pour **Politique**, choisissez **Accès total** pour autoriser un accès total au service Amazon S3 par n’importe quel utilisateur ou service au sein du VPC.
## Ajouter des autorisations pour les tâches Inference Recommender dans un VPC Amazon à des politiques IAM personnalisées
La politique gérée `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` inclut les autorisations dont vous avez besoin pour utiliser des modèles configurés pour l’accès à l’Amazon VPC avec un point de terminaison. Ces autorisations permettent à Inference Recommender de créer une interface réseau Elastic et de l'attacher à la tâche de recommandation d'inférence qui s'exécute dans un VPC Amazon. Si vous utilisez votre propre politique IAM, vous devez ajouter les autorisations suivantes à cette politique pour utiliser les modèles configurés pour l’accès à Amazon VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## Configuration des tables de routage
Utilisez les paramètres DNS par défaut pour la table de routage de votre point de terminaison, afin qu'Amazon S3 standard URLs (par exemple :`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) soit résolu. Si vous n'utilisez pas les paramètres DNS par défaut, assurez-vous que ceux URLs que vous utilisez pour spécifier l'emplacement des données dans vos tâches de recommandation d'inférence sont résolus en configurant les tables de routage des points de terminaison. Pour obtenir des informations sur les tables de routage de point de terminaison d’un VPC, consultez [Routage des points de terminaison de passerelle](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) dans le *Guide de l’utilisateur Amazon VPC*.
## Configurer le groupe de sécurité VPC
Dans votre groupe de sécurité pour la tâche de recommandation d'inférence, vous devez autoriser la communication sortante vers vos points de terminaison d'un VPC Amazon S3 et les plages CIDR de sous-réseau utilisées pour la tâche de recommandation d'inférence. Pour obtenir des informations, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) et [Contrôler l’accès aux services avec les points de terminaison Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.