Kebijakan terkelola untuk Amazon S3 - Amazon SageMaker AI
AmazonSageMakerFullAccessAmazonSageMakerReadOnlyPembaruan kebijakan Amazon SageMaker AI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan terkelola untuk Amazon S3

Menambahkan izin ke para pengguna, grup, dan peran lebih mudah dilakukan dengan menggunakan kebijakan terkelola AWS dibandingkan dengan menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan yang dikelola AWS kami. Kebijakan-kebijakan ini mencakup kasus penggunaan umum dan tersedia di akun AWS Anda. Untuk informasi lebih lanjut tentang kebijakan yang dikelola AWS , lihat kebijakan yang dikelola AWS di Panduan Pengguna IAM.

Layanan AWS mempertahankan dan memperbarui kebijakan-kebijakan yang dikelola AWS . Anda tidak dapat mengubah izin di kebijakan yang dikelola AWS . Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin yang ada di kebijakan yang dikelola AWS , sehingga pembaruan-pembaruan yang terjadi pada kebijakan tidak akan membuat izin yang ada rusak.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi tugas yang mencakup beberapa layanan. Sebagai contoh, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua layanan dan sumber daya . Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

penting

Kami merekomendasikan agar Anda menggunakan kebijakan paling terbatas yang memungkinkan Anda melakukan kasus penggunaan Anda.

Kebijakan terkelola AWS berikut, yang dapat Anda sematkan ke pengguna di akun Anda, adalah khusus untuk SageMaker :

  • AmazonSageMakerFullAccess— Memberikan akses penuh ke sumber daya geospasial Amazon SageMaker SageMaker AI dan AI serta operasi yang didukung. Ini tidak menyediakan akses Amazon S3 yang tidak terbatas, tetapi mendukung bucket dan objek dengan tag tertentu. sagemaker Kebijakan ini memungkinkan semua peran IAM diteruskan ke Amazon SageMaker AI, tetapi hanya memungkinkan peran IAM dengan "AmazonSageMaker" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan.

  • AmazonSageMakerReadOnly – Memberikan akses hanya-baca untuk SageMaker sumber daya.

Kebijakan AWS terkelola berikut dapat dilampirkan ke pengguna di akun Anda tetapi tidak disarankan:

  • Kebijakan ini memberikan semua tindakan untuk semua layanan AWS dan untuk semua sumber daya dalam akun.

  • DataScientistMemberikan berbagai izin untuk mencakup sebagian besar kasus penggunaan (terutama untuk analitik dan intelijen bisnis) yang dihadapi oleh ilmuwan data.

Anda dapat meninjau izin ini dengan masuk ke konsol IAM dan mencari kebijakan tertentu.

Anda juga dapat membuat kebijakan IAM khusus Anda sendiri untuk memberikan izin untuk SageMaker tindakan dan sumber daya. Anda dapat menyematkan kebijakan khusus ini untuk pengguna atau grup yang memerlukan izin tersebut.

Topik

Kebijakan terkelola AWS : AmazonSageMakerFullAccess

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua sumber daya dan operasi geospasial Amazon SageMaker SageMaker AI dan AI. Kebijakan ini juga menyediakan akses terpilih ke layanan terkait. Kebijakan ini memungkinkan semua peran IAM diteruskan ke Amazon SageMaker AI, tetapi hanya memungkinkan peran IAM dengan "AmazonSageMaker" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan. Kebijakan ini tidak menyertakan izin untuk membuat domain Amazon SageMaker AI. Untuk informasi tentang kebijakan yang diperlukan untuk membuat domain, lihatLengkapi prasyarat Amazon SageMaker AI.

Detail izin

Kebijakan ini mencakup izin berikut.

  • application-autoscaling— Memungkinkan kepala sekolah untuk secara otomatis menskalakan titik akhir inferensi real-time SageMaker AI.

  • athena— Memungkinkan prinsipal untuk menanyakan daftar katalog data, database, dan metadata tabel dari. Amazon Athena

  • aws-marketplace— Memungkinkan kepala sekolah untuk melihat langganan AI AWS Marketplace. Anda memerlukan ini jika Anda ingin mengakses perangkat lunak SageMaker AI yang berlangganan. AWS Marketplace

  • cloudformation— Memungkinkan kepala sekolah untuk mendapatkan AWS CloudFormation template untuk menggunakan JumpStart solusi SageMaker AI dan Pipelines. SageMaker AI JumpStart menciptakan sumber daya yang diperlukan untuk menjalankan solusi pembelajaran end-to-end mesin yang mengikat SageMaker AI dengan AWS layanan lain. SageMaker AI Pipelines menciptakan proyek baru yang didukung oleh Service Catalog.

  • cloudwatch— Memungkinkan kepala sekolah untuk memposting CloudWatch metrik, berinteraksi dengan alarm, dan mengunggah log ke CloudWatch Log di akun Anda.

  • codebuild— Memungkinkan kepala sekolah menyimpan AWS CodeBuild artefak untuk Pipeline dan Proyek SageMaker AI.

  • codecommit— Diperlukan untuk AWS CodeCommit integrasi dengan instance notebook SageMaker AI.

  • cognito-idp— Diperlukan untuk Amazon SageMaker Ground Truth untuk mendefinisikan tenaga kerja pribadi dan tim kerja.

  • ec2— Diperlukan SageMaker AI untuk mengelola EC2 sumber daya Amazon dan antarmuka jaringan saat Anda menentukan VPC Amazon untuk pekerjaan, model, titik akhir, dan instans notebook AI SageMaker Anda.

  • ecr— Diperlukan untuk menarik dan menyimpan artefak Docker untuk Amazon SageMaker Studio Classic (gambar khusus), pelatihan, pemrosesan, inferensi batch, dan titik akhir inferensi. Ini juga diperlukan untuk menggunakan wadah Anda sendiri di SageMaker AI. Izin tambahan untuk JumpStart solusi SageMaker AI diperlukan untuk membuat dan menghapus gambar khusus atas nama pengguna.

  • elasticfilesystem— Memungkinkan kepala sekolah mengakses Amazon Elastic File System. Ini diperlukan agar SageMaker AI dapat menggunakan sumber data di Amazon Elastic File System untuk melatih model pembelajaran mesin.

  • – Mengizinkan pengguna utama memiliki akses penuh ke Amazon RDS. Ini diperlukan agar SageMaker AI dapat menggunakan sumber data di Amazon FSx untuk melatih model pembelajaran mesin.

  • glue— Diperlukan untuk pra-pemrosesan pipa inferensi dari dalam instance notebook SageMaker AI.

  • groundtruthlabeling— Diperlukan untuk pekerjaan pelabelan Ground Truth. groundtruthlabelingTitik akhir diakses oleh konsol Ground Truth.

  • iam— Diperlukan untuk memberikan akses konsol SageMaker AI ke peran IAM yang tersedia dan membuat peran terkait layanan.

  • kms— Diperlukan untuk memberikan akses konsol SageMaker AI ke AWS KMS kunci yang tersedia dan mengambilnya untuk AWS KMS alias tertentu dalam pekerjaan dan titik akhir.

  • lambda— Memungkinkan kepala sekolah untuk memanggil dan mendapatkan daftar fungsi. AWS Lambda

  • logs— Diperlukan untuk memungkinkan pekerjaan SageMaker AI dan titik akhir untuk mempublikasikan aliran log.

  • redshift— Memungkinkan kepala sekolah mengakses kredenal cluster Amazon Redshift.

  • redshift-data— Memungkinkan prinsipal menggunakan data dari Amazon Redshift untuk menjalankan, mendeskripsikan, dan membatalkan pernyataan; mendapatkan hasil pernyataan; dan daftar skema dan tabel.

  • robomaker— Memungkinkan kepala sekolah memiliki akses penuh untuk membuat, mendapatkan deskripsi, dan menghapus aplikasi dan pekerjaan AWS RoboMaker simulasi. Ini juga diperlukan untuk menjalankan contoh pembelajaran penguatan pada instance notebook.

  • s3, s3express— Memungkinkan kepala sekolah memiliki akses penuh ke sumber daya Amazon S3 dan Amazon S3 Express yang berkaitan dengan SageMaker AI, tetapi tidak semua Amazon S3 atau Amazon S3 Express.

  • sagemaker— Memungkinkan kepala sekolah untuk mencantumkan tag pada profil pengguna SageMaker AI, dan menambahkan tag ke aplikasi dan spasi SageMaker AI. Mengizinkan akses hanya ke definisi aliran SageMaker AI dari sagemaker: WorkteamType “private-crowd” atau “vendor-crowd”. Memungkinkan penggunaan dan deskripsi rencana pelatihan SageMaker AI dan kapasitas cadangan dalam pekerjaan SageMaker pelatihan, dan SageMaker HyperPod cluster, di semua AWS Wilayah di mana fitur rencana pelatihan dapat diakses.

  • sagemakerdan sagemaker-geospatial — Memungkinkan akses hanya-baca kepala sekolah ke domain SageMaker AI dan profil pengguna.

  • secretsmanager Mengizinkan prinsipiel untuk mendapatkan akses penuh ke semua API . Prinsipal dapat mengenkripsi, menyimpan, dan mengambil kredenal untuk basis data dan layanan lainnya dengan aman. Ini juga diperlukan untuk instance notebook SageMaker AI dengan repositori kode SageMaker AI yang digunakan. GitHub

  • servicecatalog— Memungkinkan kepala sekolah untuk menggunakan Service Catalog. Prinsipal dapat membuat, mendapatkan daftar, memperbarui, atau menghentikan produk yang disediakan, seperti server, database, situs web, atau aplikasi yang digunakan menggunakan sumber daya. AWS Ini diperlukan untuk SageMaker AI JumpStart dan Proyek untuk menemukan dan membaca produk katalog layanan dan meluncurkan AWS sumber daya pada pengguna.

  • sns— Memungkinkan kepala sekolah untuk mendapatkan daftar topik Amazon SNS. Ini diperlukan untuk titik akhir dengan Inferensi Async diaktifkan untuk memberi tahu pengguna bahwa inferensi mereka telah selesai.

  • states— Diperlukan SageMaker AI JumpStart dan Pipelines untuk menggunakan katalog layanan untuk membuat sumber daya fungsi langkah.

  • tag- Diperlukan untuk SageMaker AI Pipelines untuk dirender di Studio Classic. Studio Classic membutuhkan sumber daya yang ditandai dengan kunci sagemaker:project-id tag tertentu. Ini membutuhkan tag:GetResources izin.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAllNonAdminSageMakerActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:*",
        "sagemaker-geospatial:*"
      ],
      "NotResource": [
        "arn:aws:sagemaker:*:*:domain/*",
        "arn:aws:sagemaker:*:*:user-profile/*",
        "arn:aws:sagemaker:*:*:app/*",
        "arn:aws:sagemaker:*:*:space/*",
        "arn:aws:sagemaker:*:*:partner-app/*",
        "arn:aws:sagemaker:*:*:flow-definition/*",
        "arn:aws:sagemaker:*:*:training-plan/*",
        "arn:aws:sagemaker:*:*:reserved-capacity/*"
      ]
    },
    {
      "Sid": "AllowAddTagsForSpace",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:space/*"
      ],
      "Condition": {
        "StringEquals": {
          "sagemaker:TaggingAction": "CreateSpace"
        }
      }
    },
    {
      "Sid": "AllowAddTagsForApp",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:app/*"
      ]
    },
    {
      "Sid": "AllowUseOfTrainingPlanResources",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateTrainingJob",
        "sagemaker:CreateCluster",
        "sagemaker:UpdateCluster",
        "sagemaker:DescribeTrainingPlan"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:training-plan/*",
        "arn:aws:sagemaker:*:*:reserved-capacity/*"
      ]
    },
    {
      "Sid": "AllowStudioActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowAppActionsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "AllowAppActionsForSharedSpaces",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private",
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private"
          ]
        }
      }
    },
    {
      "Sid": "AllowFlowDefinitionActions",
      "Effect": "Allow",
      "Action": "sagemaker:*",
      "Resource": [
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ],
      "Condition": {
        "StringEqualsIfExists": {
          "sagemaker:WorkteamType": [
            "private-crowd",
            "vendor-crowd"
          ]
        }
      }
    },
    {
      "Sid": "AllowAWSServiceActions",
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DeleteScalingPolicy",
        "application-autoscaling:DeleteScheduledAction",
        "application-autoscaling:DeregisterScalableTarget",
        "application-autoscaling:DescribeScalableTargets",
        "application-autoscaling:DescribeScalingActivities",
        "application-autoscaling:DescribeScalingPolicies",
        "application-autoscaling:DescribeScheduledActions",
        "application-autoscaling:PutScalingPolicy",
        "application-autoscaling:PutScheduledAction",
        "application-autoscaling:RegisterScalableTarget",
        "aws-marketplace:ViewSubscriptions",
        "cloudformation:GetTemplateSummary",
        "cloudwatch:DeleteAlarms",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:PutMetricData",
        "codecommit:BatchGetRepositories",
        "codecommit:CreateRepository",
        "codecommit:GetRepository",
        "codecommit:List*",
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:List*",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient",
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage",
        "ecr:CreateRepository",
        "ecr:Describe*",
        "ecr:GetAuthorizationToken",
        "ecr:GetDownloadUrlForLayer",
        "ecr:StartImageScan",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeMountTargets",
        "fsx:DescribeFileSystems",
        "glue:CreateJob",
        "glue:DeleteJob",
        "glue:GetJob*",
        "glue:GetTable*",
        "glue:GetWorkflowRun",
        "glue:ResetJobBookmark",
        "glue:StartJobRun",
        "glue:StartWorkflowRun",
        "glue:UpdateJob",
        "groundtruthlabeling:*",
        "iam:ListRoles",
        "kms:DescribeKey",
        "kms:ListAliases",
        "lambda:ListFunctions",
        "logs:CreateLogDelivery",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DeleteLogDelivery",
        "logs:Describe*",
        "logs:GetLogDelivery",
        "logs:GetLogEvents",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:PutResourcePolicy",
        "logs:UpdateLogDelivery",
        "robomaker:CreateSimulationApplication",
        "robomaker:DescribeSimulationApplication",
        "robomaker:DeleteSimulationApplication",
        "robomaker:CreateSimulationJob",
        "robomaker:DescribeSimulationJob",
        "robomaker:CancelSimulationJob",
        "secretsmanager:ListSecrets",
        "servicecatalog:Describe*",
        "servicecatalog:List*",
        "servicecatalog:ScanProvisionedProducts",
        "servicecatalog:SearchProducts",
        "servicecatalog:SearchProvisionedProducts",
        "sns:ListTopics",
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowECRActions",
      "Effect": "Allow",
      "Action": [
        "ecr:SetRepositoryPolicy",
        "ecr:CompleteLayerUpload",
        "ecr:BatchDeleteImage",
        "ecr:UploadLayerPart",
        "ecr:DeleteRepositoryPolicy",
        "ecr:InitiateLayerUpload",
        "ecr:DeleteRepository",
        "ecr:PutImage"
      ],
      "Resource": [
        "arn:aws:ecr:*:*:repository/*sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeCommitActions",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull",
        "codecommit:GitPush"
      ],
      "Resource": [
        "arn:aws:codecommit:*:*:*sagemaker*",
        "arn:aws:codecommit:*:*:*SageMaker*",
        "arn:aws:codecommit:*:*:*Sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeBuildActions",
      "Action": [
        "codebuild:BatchGetBuilds",
        "codebuild:StartBuild"
      ],
      "Resource": [
        "arn:aws:codebuild:*:*:project/sagemaker*",
        "arn:aws:codebuild:*:*:build/*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowStepFunctionsActions",
      "Action": [
        "states:DescribeExecution",
        "states:GetExecutionHistory",
        "states:StartExecution",
        "states:StopExecution",
        "states:UpdateStateMachine"
      ],
      "Resource": [
        "arn:aws:states:*:*:statemachine:*sagemaker*",
        "arn:aws:states:*:*:execution:*sagemaker*:*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowSecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:CreateSecret"
      ],
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
      ]
    },
    {
      "Sid": "AllowReadOnlySecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "secretsmanager:ResourceTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowServiceCatalogProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:ProvisionProduct"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:TerminateProvisionedProduct",
        "servicecatalog:UpdateProvisionedProduct"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "servicecatalog:userLevel": "self"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*",
        "arn:aws:s3:::*aws-glue*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "s3:ExistingObjectTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
        }
      }
    },
    {
      "Sid": "AllowS3BucketActions",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetBucketLocation",
        "s3:ListBucket",
        "s3:ListAllMyBuckets",
        "s3:GetBucketCors",
        "s3:PutBucketCors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowS3BucketACL",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AllowLambdaInvokeFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:InvokeFunction"
      ],
      "Resource": [
        "arn:aws:lambda:*:*:function:*SageMaker*",
        "arn:aws:lambda:*:*:function:*sagemaker*",
        "arn:aws:lambda:*:*:function:*Sagemaker*",
        "arn:aws:lambda:*:*:function:*LabelingFunction*"
      ]
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
      "Action": "iam:CreateServiceLinkedRole",
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForRobomaker",
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "robomaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowSNSActions",
      "Effect": "Allow",
      "Action": [
        "sns:Subscribe",
        "sns:CreateTopic",
        "sns:Publish"
      ],
      "Resource": [
        "arn:aws:sns:*:*:*SageMaker*",
        "arn:aws:sns:*:*:*Sagemaker*",
        "arn:aws:sns:*:*:*sagemaker*"
      ]
    },
    {
      "Sid": "AllowPassRoleForSageMakerRoles",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": [
            "glue.amazonaws.com",
            "robomaker.amazonaws.com",
            "states.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowPassRoleToSageMaker",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowAthenaActions",
      "Effect": "Allow",
      "Action": [
        "athena:ListDataCatalogs",
        "athena:ListDatabases",
        "athena:ListTableMetadata",
        "athena:GetQueryExecution",
        "athena:GetQueryResults",
        "athena:StartQueryExecution",
        "athena:StopQueryExecution"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowGlueCreateTable",
      "Effect": "Allow",
      "Action": [
        "glue:CreateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueUpdateTable",
      "Effect": "Allow",
      "Action": [
        "glue:UpdateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore"
      ]
    },
    {
      "Sid": "AllowGlueDeleteTable",
      "Effect": "Allow",
      "Action": [
        "glue:DeleteTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetTablesAndDatabases",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabases",
        "glue:GetTable",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetAndCreateDatabase",
      "Effect": "Allow",
      "Action": [
        "glue:CreateDatabase",
        "glue:GetDatabase"
      ],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore",
        "arn:aws:glue:*:*:database/sagemaker_processing",
        "arn:aws:glue:*:*:database/default",
        "arn:aws:glue:*:*:database/sagemaker_data_wrangler"
      ]
    },
    {
      "Sid": "AllowRedshiftDataActions",
      "Effect": "Allow",
      "Action": [
        "redshift-data:ExecuteStatement",
        "redshift-data:DescribeStatement",
        "redshift-data:CancelStatement",
        "redshift-data:GetStatementResult",
        "redshift-data:ListSchemas",
        "redshift-data:ListTables"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowRedshiftGetClusterCredentials",
      "Effect": "Allow",
      "Action": [
        "redshift:GetClusterCredentials"
      ],
      "Resource": [
        "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
        "arn:aws:redshift:*:*:dbname:*"
      ]
    },
    {
      "Sid": "AllowListTagsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:ListTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:user-profile/*"
      ]
    },
    {
      "Sid": "AllowCloudformationListStackResources",
      "Effect": "Allow",
      "Action": [
        "cloudformation:ListStackResources"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
    },
    {
      "Sid": "AllowS3ExpressObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateSession"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*",
        "arn:aws:s3express:*:*:bucket/*aws-glue*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressCreateBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressListBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:ListAllMyDirectoryBuckets"
      ],
      "Resource": "*"
    }
  ]
}
Tampilkan lebih banyakTampilkan lebih sedikit

Kebijakan terkelola AWS : AmazonSageMakerReadOnly

Kebijakan ini mengizinkan akses hanya-baca ke Amazon RDS melalui .

Detail izin

Kebijakan ini mencakup izin berikut.

  • application-autoscaling— Memungkinkan pengguna untuk menelusuri deskripsi titik akhir inferensi real-time SageMaker AI yang dapat diskalakan.

  • aws-marketplace— Memungkinkan pengguna untuk melihat langganan AWS AI Marketplace.

  • cloudwatch— Memungkinkan pengguna untuk menerima CloudWatch alarm.

  • cognito-idp— Diperlukan untuk Amazon SageMaker Ground Truth untuk menelusuri deskripsi dan daftar tenaga kerja pribadi dan tim kerja.

  • ecr— Diperlukan untuk membaca artefak Docker untuk pelatihan dan inferensi.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:Describe*",
                "sagemaker:List*",
                "sagemaker:BatchGetMetrics",
                "sagemaker:GetDeviceRegistration",
                "sagemaker:GetDeviceFleetReport",
                "sagemaker:GetSearchSuggestions",
                "sagemaker:BatchGetRecord",
                "sagemaker:GetRecord",
                "sagemaker:Search",
                "sagemaker:QueryLineage",
                "sagemaker:GetLineageGroupPolicy",
                "sagemaker:BatchDescribeModelPackage",
                "sagemaker:GetModelPackageGroupPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "aws-marketplace:ViewSubscriptions",
                "cloudwatch:DescribeAlarms",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "ecr:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

Pembaruan SageMaker terhadap kebijakan terkelola AWS

Lihat detail tentang pembaruan terhadap kebijakan terkelola AWS untuk SageMaker sejak layanan ini mulai melacak perubahan-perubahan tersebut.

Kebijakan Versi Perubahan Tanggal

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 27

  • Tambahkan ID Pernyataan AllowUseOfTrainingPlanResources dengan tindakan berikut:sagemaker:CreateTrainingJob,sagemaker:CreateCluster,sagemaker:UpdateCluster,sagemaker:DescribeTrainingPlan.

  • Tambahkan Aplikasi Mitra, rencana pelatihan, dan Kapasitas Cadangan di antara sumber daya yang dikecualikan dari pernyataan AllowAllNonAdminSageMakerActions kebijakan.

4 Desember 2015

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 26

Tambahkan sagemaker:AddTags izin.

26 Maret 2024

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 25

Tambahkansagemaker:CreateApp,sagemaker:DescribeApp,sagemaker:DeleteApp,sagemaker:CreateSpace,sagemaker:UpdateSpace,sagemaker:DeleteSpace,s3express:CreateSession,s3express:CreateBucket, dan s3express:ListAllMyDirectoryBuckets izin.

30 November 2023

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 24

Tambahkansagemaker-geospatial:*,sagemaker:AddTags,sagemaker-ListTags,sagemaker-DescribeSpace, dan sagemaker:ListSpaces izin.

30 November 2022

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 23

Tambahkan glue:UpdateTable.

28 Juni 2022

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 22

Tambahkan cloudformation:ListStackResources.

5 Mei 2022

AmazonSageMakerReadOnly - Pembaruan ke kebijakan yang tersedia

 11

Tambahkansagemaker:QueryLineage,sagemaker:GetLineageGroupPolicy,sagemaker:BatchDescribeModelPackage, sagemaker:GetModelPackageGroupPolicy izin.

1 Desember 2021

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 21

Tambahkan sns:Publish izin untuk titik akhir dengan Inferensi Async diaktifkan.

8 September 2021

AmazonSageMakerFullAccess - Pembaruan ke kebijakan yang tersedia

 20

Perbarui iam:PassRole sumber daya dan izin.

15 Juli 2021

AmazonSageMakerReadOnly - Pembaruan ke kebijakan yang tersedia

 10

API baru BatchGetRecord ditambahkan untuk SageMaker AI Feature Store.

10 Juni 2021

SageMaker mulai melacak perubahan untuk kebijakan terkelola AWS .

 1 Juni 2021