AmazonSageMakerModelRegistryFullAccess Pembaruan kebijakan Model Registry

AWS Kebijakan Terkelola untuk Registri Model

Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Model Registry. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol Amazon SageMaker AI.

Topik

Kebijakan terkelola AWS : AmazonSageMakerModelRegistryFullAccess
Amazon SageMaker AI memperbarui kebijakan terkelola Model Registry

Kebijakan terkelola AWS : AmazonSageMakerModelRegistryFullAccess

Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk menggunakan semua fitur Model Registry di dalam domain Amazon SageMaker AI. Kebijakan ini dilampirkan ke peran eksekusi saat mengonfigurasi pengaturan Registri Model untuk mengaktifkan izin Registri Model.

Kebijakan ini mencakup izin berikut.

ecr— Memungkinkan prinsipal untuk mengambil informasi, termasuk metadata, tentang citra Amazon Elastic Container Registry (Amazon ECR).
iam— Memungkinkan kepala sekolah untuk meneruskan peran eksekusi ke layanan Amazon SageMaker AI.
resource-groups— Memungkinkan prinsipal untuk membuat, daftar, menandai, dan menghapus. AWS Resource Groups
s3— Memungkinkan prinsipal untuk mengambil objek dari bucket Amazon Simple Storage Service (Amazon S3) tempat penyimpanan versi model. Objek yang dapat diambil terbatas pada objek yang namanya tidak peka huruf besar/kecil berisi string. "sagemaker"
sagemaker— Memungkinkan prinsipal untuk membuat katalog, mengelola, dan menyebarkan model menggunakan Model Registry. SageMaker
kms— Mengizinkan hanya prinsipal layanan SageMaker AI untuk menambahkan hibah, menghasilkan kunci data, mendekripsi, dan AWS KMS kunci baca, dan hanya kunci yang diberi tag untuk penggunaan “pembuat sagemaker”.

JSON


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:ListAssociations",
        "sagemaker:ListArtifacts",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackages",
        "sagemaker:Search",
        "sagemaker:GetSearchSuggestions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteTags",
        "sagemaker:UpdateModelPackage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3GetPermission",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3ListPermission",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryECRReadPermission",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchGetImage",
        "ecr:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryTagReadPermission",
      "Effect": "Allow",
      "Action": [
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:GetGroupQuery"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:ListGroupResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:CreateGroup",
        "resource-groups:Tag"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": "sagemaker:collection"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
      "Effect": "Allow",
      "Action": "resource-groups:DeleteGroup",
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker:collection": "true"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:*:*:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker" : "true"
        },
        "StringLike": {
          "kms:ViaService": "sagemaker.*.amazonaws.com"
        }
      }
    }
  ]
}

Amazon SageMaker AI memperbarui kebijakan terkelola Model Registry

Lihat detail tentang pembaruan terhadap kebijakan terkelola untuk sejak layanan ini mulai melacak perubahan-perubahan tersebut. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlanggananlah umpan RSS di halaman Riwayat dokumen SageMaker .

Kebijakan	Versi	Perubahan	Tanggal
AmazonSageMakerModelRegistryFullAccess - Pembaruan ke kebijakan yang tersedia	2	Tambahkan`kms:CreateGrant`,`kms:DescribeKey`,`kms:GenerateDataKey`, dan `kms:Decrypt` izin.	27 Juni 2024
AmazonSageMakerModelRegistryFullAccess – Kebijakan baru	1	Kebijakan awal	12 April 2023

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SageMaker Tata Kelola Model AI

SageMaker Notebook