Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS kebijakan terkelola untuk Amazon SageMaker AI
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini memengaruhi semua identitas (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan `ReadOnlyAccess` AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
**penting**
Kami menyarankan Anda menggunakan kebijakan paling terbatas yang memungkinkan Anda untuk melakukan kasus penggunaan Anda.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Memberikan akses penuh ke sumber daya geospasial Amazon SageMaker SageMaker AI dan AI serta operasi yang didukung. Ini tidak menyediakan akses Amazon S3 yang tidak terbatas, tetapi mendukung bucket dan objek dengan tag tertentu. `sagemaker` Kebijakan ini memungkinkan semua peran IAM diteruskan ke Amazon SageMaker AI, tetapi hanya memungkinkan peran IAM dengan "AmazonSageMaker" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan.
+ **`AmazonSageMakerReadOnly`**— Memberikan akses hanya-baca ke sumber daya Amazon SageMaker AI.
Kebijakan AWS terkelola berikut dapat dilampirkan ke pengguna di akun Anda tetapi tidak disarankan:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)— Memberikan semua tindakan untuk semua AWS layanan dan untuk semua sumber daya di akun.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist)Memberikan berbagai izin untuk mencakup sebagian besar kasus penggunaan (terutama untuk analitik dan intelijen bisnis) yang dihadapi oleh ilmuwan data.
Anda dapat meninjau kebijakan izin ini dengan masuk ke konsol IAM dan mencarinya.
Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber daya Amazon SageMaker AI saat Anda membutuhkannya. Anda dapat melampirkan kebijakan khusus ini ke pengguna atau grup yang memerlukannya.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerFullAccess
](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [
## AWS kebijakan terkelola: AmazonSageMakerReadOnly
](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [
# AWS kebijakan terkelola untuk Amazon SageMaker Canvas
](security-iam-awsmanpol-canvas.md)
+ [
# AWS kebijakan terkelola untuk Amazon SageMaker Feature Store
](security-iam-awsmanpol-feature-store.md)
+ [
# AWS kebijakan terkelola untuk SageMaker geospasial Amazon
](security-iam-awsmanpol-geospatial.md)
+ [
# AWS Kebijakan Terkelola untuk Amazon SageMaker Ground Truth
](security-iam-awsmanpol-ground-truth.md)
+ [
# AWS kebijakan terkelola untuk Amazon SageMaker HyperPod
](security-iam-awsmanpol-hyperpod.md)
+ [
# AWS Kebijakan Terkelola untuk Tata Kelola Model SageMaker AI
](security-iam-awsmanpol-governance.md)
+ [
# AWS Kebijakan Terkelola untuk Registri Model
](security-iam-awsmanpol-model-registry.md)
+ [
# AWS Kebijakan Terkelola untuk SageMaker Notebook
](security-iam-awsmanpol-notebooks.md)
+ [
# AWS kebijakan terkelola untuk Aplikasi AI SageMaker Mitra Amazon
](security-iam-awsmanpol-partner-apps.md)
+ [
# AWS Kebijakan Terkelola untuk SageMaker Saluran Pipa
](security-iam-awsmanpol-pipelines.md)
+ [
# AWS kebijakan terkelola untuk rencana SageMaker pelatihan
](security-iam-awsmanpol-training-plan.md)
+ [
# AWS Kebijakan Terkelola untuk SageMaker Proyek dan JumpStart
](security-iam-awsmanpol-sc.md)
+ [
## SageMaker Pembaruan AI untuk Kebijakan AWS Terkelola
](#security-iam-awsmanpol-updates)
## AWS kebijakan terkelola: AmazonSageMakerFullAccess
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua sumber daya dan operasi geospasial Amazon SageMaker SageMaker AI dan AI. Kebijakan ini juga menyediakan akses terpilih ke layanan terkait. Kebijakan ini memungkinkan semua peran IAM diteruskan ke Amazon SageMaker AI, tetapi hanya memungkinkan peran IAM dengan "AmazonSageMaker" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan. Kebijakan ini tidak menyertakan izin untuk membuat domain Amazon SageMaker AI. Untuk informasi tentang kebijakan yang diperlukan untuk membuat domain, lihat[Lengkapi prasyarat Amazon SageMaker AI](gs-set-up.md).
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `application-autoscaling`— Memungkinkan kepala sekolah untuk secara otomatis menskalakan titik akhir inferensi real-time SageMaker AI.
+ `athena`— Memungkinkan prinsipal untuk menanyakan daftar katalog data, database, dan metadata tabel dari. Amazon Athena
+ `aws-marketplace`— Memungkinkan kepala sekolah untuk melihat langganan AI AWS Marketplace. Anda memerlukan ini jika Anda ingin mengakses perangkat lunak SageMaker AI yang berlangganan. AWS Marketplace
+ `cloudformation`— Memungkinkan kepala sekolah untuk mendapatkan AWS CloudFormation template untuk menggunakan JumpStart solusi SageMaker AI dan Pipelines. SageMaker AI JumpStart menciptakan sumber daya yang diperlukan untuk menjalankan solusi pembelajaran end-to-end mesin yang mengikat SageMaker AI dengan AWS layanan lain. SageMaker AI Pipelines menciptakan proyek baru yang didukung oleh Service Catalog.
+ `cloudwatch`— Memungkinkan kepala sekolah untuk memposting CloudWatch metrik, berinteraksi dengan alarm, dan mengunggah log ke CloudWatch Log di akun Anda.
+ `codebuild`— Memungkinkan kepala sekolah menyimpan AWS CodeBuild artefak untuk Pipeline dan Proyek SageMaker AI.
+ `codecommit`— Diperlukan untuk AWS CodeCommit integrasi dengan instance notebook SageMaker AI.
+ `cognito-idp`— Diperlukan untuk Amazon SageMaker Ground Truth untuk mendefinisikan tenaga kerja pribadi dan tim kerja.
+ `ec2`— Diperlukan SageMaker AI untuk mengelola sumber daya Amazon EC2 dan antarmuka jaringan saat Anda menentukan VPC Amazon untuk pekerjaan, model, titik akhir, dan instans notebook SageMaker AI Anda.
+ `ecr`— Diperlukan untuk menarik dan menyimpan artefak Docker untuk Amazon SageMaker Studio Classic (gambar khusus), pelatihan, pemrosesan, inferensi batch, dan titik akhir inferensi. Ini juga diperlukan untuk menggunakan wadah Anda sendiri di SageMaker AI. Izin tambahan untuk JumpStart solusi SageMaker AI diperlukan untuk membuat dan menghapus gambar khusus atas nama pengguna.
+ `elasticfilesystem`— Memungkinkan kepala sekolah mengakses Amazon Elastic File System. Ini diperlukan agar SageMaker AI dapat menggunakan sumber data di Amazon Elastic File System untuk melatih model pembelajaran mesin.
+ `fsx`— Memungkinkan kepala sekolah untuk mengakses Amazon. FSx Ini diperlukan agar SageMaker AI dapat menggunakan sumber data di Amazon FSx untuk melatih model pembelajaran mesin.
+ `glue`— Diperlukan untuk pra-pemrosesan pipa inferensi dari dalam instance notebook SageMaker AI.
+ `groundtruthlabeling`— Diperlukan untuk pekerjaan pelabelan Ground Truth. `groundtruthlabeling`Titik akhir diakses oleh konsol Ground Truth.
+ `iam`— Diperlukan untuk memberikan akses konsol SageMaker AI ke peran IAM yang tersedia dan membuat peran terkait layanan.
+ `kms`— Diperlukan untuk memberikan akses konsol SageMaker AI ke AWS KMS kunci yang tersedia dan mengambilnya untuk AWS KMS alias tertentu dalam pekerjaan dan titik akhir.
+ `lambda`— Memungkinkan kepala sekolah untuk memanggil dan mendapatkan daftar fungsi. AWS Lambda
+ `logs`— Diperlukan untuk memungkinkan pekerjaan SageMaker AI dan titik akhir untuk mempublikasikan aliran log.
+ `redshift`— Memungkinkan kepala sekolah mengakses kredenal cluster Amazon Redshift.
+ `redshift-data`— Memungkinkan prinsipal menggunakan data dari Amazon Redshift untuk menjalankan, mendeskripsikan, dan membatalkan pernyataan; mendapatkan hasil pernyataan; dan daftar skema dan tabel.
+ `robomaker`— Memungkinkan kepala sekolah memiliki akses penuh untuk membuat, mendapatkan deskripsi, dan menghapus aplikasi dan pekerjaan AWS RoboMaker simulasi. Ini juga diperlukan untuk menjalankan contoh pembelajaran penguatan pada instance notebook.
+ `s3, s3express`— Memungkinkan kepala sekolah memiliki akses penuh ke sumber daya Amazon S3 dan Amazon S3 Express yang berkaitan dengan SageMaker AI, tetapi tidak semua Amazon S3 atau Amazon S3 Express.
+ `sagemaker`— Memungkinkan kepala sekolah untuk mencantumkan tag pada profil pengguna SageMaker AI, dan menambahkan tag ke aplikasi dan spasi SageMaker AI. Mengizinkan akses hanya ke definisi aliran SageMaker AI dari sagemaker: WorkteamType “private-crowd” atau “vendor-crowd”. Memungkinkan penggunaan dan deskripsi rencana pelatihan SageMaker AI dan kapasitas cadangan dalam pekerjaan SageMaker pelatihan, dan SageMaker HyperPod cluster, di semua AWS Wilayah di mana fitur rencana pelatihan dapat diakses.
+ `sagemaker`dan `sagemaker-geospatial` — Memungkinkan akses hanya-baca kepala sekolah ke domain SageMaker AI dan profil pengguna.
+ `secretsmanager`— Memungkinkan kepala sekolah untuk memiliki akses penuh ke. AWS Secrets Manager Prinsipal dapat dengan aman mengenkripsi, menyimpan, dan mengambil kredensi untuk database dan layanan lainnya. Ini juga diperlukan untuk instance notebook SageMaker AI dengan repositori kode SageMaker AI yang digunakan. GitHub
+ `servicecatalog`— Memungkinkan kepala sekolah untuk menggunakan Service Catalog. Prinsipal dapat membuat, mendapatkan daftar, memperbarui, atau menghentikan produk yang disediakan, seperti server, database, situs web, atau aplikasi yang digunakan menggunakan sumber daya. AWS Ini diperlukan untuk SageMaker AI JumpStart dan Proyek untuk menemukan dan membaca produk katalog layanan dan meluncurkan AWS sumber daya pada pengguna.
+ `sns`— Memungkinkan kepala sekolah untuk mendapatkan daftar topik Amazon SNS. Ini diperlukan untuk titik akhir dengan Inferensi Async diaktifkan untuk memberi tahu pengguna bahwa inferensi mereka telah selesai.
+ `states`— Diperlukan SageMaker AI JumpStart dan Pipelines untuk menggunakan katalog layanan untuk membuat sumber daya fungsi langkah.
+ `tag`- Diperlukan untuk SageMaker AI Pipelines untuk dirender di Studio Classic. Studio Classic membutuhkan sumber daya yang ditandai dengan kunci `sagemaker:project-id` tag tertentu. Ini membutuhkan `tag:GetResources` izin.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerReadOnly
Kebijakan ini memberikan akses hanya-baca ke Amazon SageMaker AI melalui dan SDK Konsol Manajemen AWS .
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `application-autoscaling`— Memungkinkan pengguna untuk menelusuri deskripsi titik akhir inferensi real-time SageMaker AI yang dapat diskalakan.
+ `aws-marketplace`— Memungkinkan pengguna untuk melihat langganan AWS AI Marketplace.
+ `cloudwatch`— Memungkinkan pengguna untuk menerima CloudWatch alarm.
+ `cognito-idp`— Diperlukan untuk Amazon SageMaker Ground Truth untuk menelusuri deskripsi dan daftar tenaga kerja pribadi dan tim kerja.
+ `ecr`— Diperlukan untuk membaca artefak Docker untuk pelatihan dan inferensi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS kebijakan terkelola untuk Amazon SageMaker Canvas
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Amazon SageMaker Canvas. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerCanvasFullAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [
## AWS kebijakan terkelola: AmazonSageMakerCanvasDataPrepFullAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [
## AWS kebijakan terkelola: AmazonSageMakerCanvasDirectDeployAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [
## AWS kebijakan terkelola: AmazonSageMakerCanvas AIServices Akses
](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [
## AWS kebijakan terkelola: AmazonSageMakerCanvasBedrockAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [
## AWS kebijakan terkelola: AmazonSageMakerCanvasForecastAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [
## AWS kebijakan terkelola: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerCanvas SMData ScienceAssistantAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola Amazon SageMaker Canvas
](#security-iam-awsmanpol-canvas-updates)
## AWS kebijakan terkelola: AmazonSageMakerCanvasFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke Amazon SageMaker Canvas melalui Konsol Manajemen AWS dan SDK. Kebijakan ini juga menyediakan akses pilih ke layanan terkait [misalnya, Amazon Simple Storage Service (Amazon S3), (IAM), Amazon Virtual Private Cloud (Amazon VPC) AWS Identity and Access Management , Amazon Elastic Container Registry (Amazon ECR), Amazon Elastic Container Registry (Amazon ECR), Amazon CloudWatch Logs, Amazon Redshift, Amazon Autopilot, Registry Model, dan Amazon AWS Secrets Manager Forecast]. SageMaker SageMaker
Kebijakan ini dimaksudkan untuk membantu pelanggan bereksperimen dan memulai dengan semua kemampuan SageMaker Canvas. Untuk kontrol yang lebih halus, kami menyarankan pelanggan membuat versi cakupan mereka sendiri saat mereka beralih ke beban kerja produksi. Untuk informasi selengkapnya, lihat [Jenis kebijakan IAM: Bagaimana dan kapan menggunakannya.](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/)
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker`— Memungkinkan kepala sekolah untuk membuat dan meng-host model SageMaker AI pada sumber daya yang ARN-nya berisi “Kanvas”, “kanvas”, atau “model-kompilasi-”. Selain itu, pengguna dapat mendaftarkan model SageMaker Canvas mereka ke SageMaker AI Model Registry di AWS akun yang sama. Juga memungkinkan kepala sekolah untuk membuat dan mengelola SageMaker pelatihan, transformasi, dan pekerjaan AutoML.
+ `application-autoscaling`— Memungkinkan kepala sekolah untuk secara otomatis menskalakan titik akhir inferensi SageMaker AI.
+ `athena`— Memungkinkan kepala sekolah untuk menanyakan daftar katalog data, database, dan metadata tabel dari Amazon Athena, dan mengakses tabel dalam katalog.
+ `cloudwatch`— Memungkinkan kepala sekolah untuk membuat dan mengelola alarm Amazon. CloudWatch
+ `ec2`— Memungkinkan prinsipal untuk membuat titik akhir Amazon VPC.
+ `ecr`— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang gambar kontainer.
+ `emr-serverless`— Memungkinkan kepala sekolah untuk membuat dan mengelola aplikasi Amazon EMR Tanpa Server dan menjalankan pekerjaan. Juga memungkinkan prinsipal untuk menandai SageMaker sumber daya Canvas.
+ `forecast`— Memungkinkan prinsipal untuk menggunakan Amazon Forecast.
+ `glue`— Memungkinkan prinsipal untuk mengambil tabel, database, dan partisi dalam katalog. AWS Glue
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon AI, Amazon Forecast, dan Amazon EMR Tanpa Server. SageMaker Juga memungkinkan kepala sekolah untuk membuat peran terkait layanan.
+ `kms`— Memungkinkan kepala sekolah untuk membaca AWS KMS kunci yang ditandai dengan. `Source:SageMakerCanvas`
+ `logs`— Memungkinkan kepala sekolah untuk mempublikasikan log dari pekerjaan pelatihan dan titik akhir.
+ `quicksight`— Memungkinkan kepala sekolah untuk membuat daftar ruang nama di akun Cepat.
+ `rds`— Memungkinkan kepala sekolah mengembalikan informasi tentang instans Amazon RDS yang disediakan.
+ `redshift`— Memungkinkan prinsipal untuk mendapatkan kredensil untuk dbuser “sagemaker\$1access\$1” di klaster Amazon Redshift mana pun jika pengguna itu ada.
+ `redshift-data`— Memungkinkan prinsipal menjalankan kueri di Amazon Redshift menggunakan Amazon Redshift Data API. Ini hanya menyediakan akses ke Data Redshift itu APIs sendiri dan tidak secara langsung menyediakan akses ke cluster Amazon Redshift Anda. Untuk informasi selengkapnya, lihat [Menggunakan Amazon Redshift Data API](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”. Juga memungkinkan prinsipal untuk mengambil objek dari ember Amazon S3 yang ARN-nya dimulai dengan "-” di wilayah tertentu. jumpstart-cache-prod
+ `secretsmanager`— Memungkinkan kepala sekolah untuk menyimpan kredensil pelanggan untuk terhubung ke database Snowflake menggunakan Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS kebijakan terkelola: AmazonSageMakerCanvasDataPrepFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke fungsionalitas persiapan data Amazon SageMaker Canvas. Kebijakan ini juga memberikan izin hak istimewa paling sedikit untuk layanan yang terintegrasi dengan fungsionalitas persiapan data [misalnya, Amazon Simple Storage Service (Amazon S3) Service (IAM), Amazon EMR, Amazon, Amazon Redshift, AWS Identity and Access Management () dan]. EventBridge AWS Key Management Service AWS KMS AWS Secrets Manager
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker`— Memungkinkan kepala sekolah untuk mengakses pekerjaan pemrosesan, pekerjaan pelatihan, saluran inferensi, pekerjaan AutoML, dan grup fitur.
+ `athena`— Memungkinkan kepala sekolah untuk menanyakan daftar katalog data, database, dan metadata tabel dari Amazon Athena.
+ `elasticmapreduce`— Memungkinkan kepala sekolah untuk membaca dan membuat daftar cluster EMR Amazon.
+ `emr-serverless`— Memungkinkan kepala sekolah untuk membuat dan mengelola aplikasi Amazon EMR Tanpa Server dan menjalankan pekerjaan. Juga memungkinkan prinsipal untuk menandai SageMaker sumber daya Canvas.
+ `events`— Memungkinkan kepala sekolah untuk membuat, membaca, memperbarui, dan menambahkan target ke EventBridge aturan Amazon untuk pekerjaan terjadwal.
+ `glue`— Memungkinkan kepala sekolah untuk mendapatkan dan mencari tabel dari database dalam katalog. AWS Glue
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon SageMaker AI,, dan Amazon EMR Tanpa EventBridge Server. Juga memungkinkan kepala sekolah untuk membuat peran terkait layanan.
+ `kms`— Memungkinkan prinsipal untuk mengambil AWS KMS alias yang disimpan dalam pekerjaan dan titik akhir, dan mengakses kunci KMS terkait.
+ `logs`— Memungkinkan kepala sekolah untuk mempublikasikan log dari pekerjaan pelatihan dan titik akhir.
+ `redshift`— Memungkinkan kepala sekolah mendapatkan kredensyal untuk mengakses database Amazon Redshift.
+ `redshift-data`— Memungkinkan prinsipal untuk menjalankan, membatalkan, mendeskripsikan, membuat daftar, dan mendapatkan hasil kueri Amazon Redshift. Juga memungkinkan kepala sekolah untuk membuat daftar skema dan tabel Amazon Redshift.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”; atau ditandai dengan "“, case-insensitive. SageMaker
+ `secretsmanager`— Memungkinkan kepala sekolah untuk menyimpan dan mengambil kredensil basis data pelanggan menggunakan Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS kebijakan terkelola: AmazonSageMakerCanvasDirectDeployAccess
Kebijakan ini memberikan izin yang diperlukan Amazon SageMaker Canvas untuk membuat dan mengelola titik akhir Amazon SageMaker AI.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker`— Memungkinkan prinsipal untuk membuat dan mengelola titik akhir SageMaker AI dengan nama sumber daya ARN yang dimulai dengan “Kanvas” atau “kanvas”.
+ `cloudwatch`— Memungkinkan kepala sekolah untuk mengambil data metrik Amazon. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCanvas AIServices Akses
Kebijakan ini memberikan izin kepada Amazon SageMaker Canvas untuk menggunakan Amazon Ttract, Amazon Rekognition, Amazon Comprehend, dan Amazon Bedrock.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `textract`— Memungkinkan kepala sekolah menggunakan Amazon Ttract untuk mendeteksi dokumen, pengeluaran, dan identitas dalam sebuah gambar.
+ `rekognition`— Memungkinkan kepala sekolah menggunakan Amazon Rekognition untuk mendeteksi label dan teks dalam gambar.
+ `comprehend`— Memungkinkan kepala sekolah menggunakan Amazon Comprehend untuk mendeteksi sentimen dan bahasa dominan, dan entitas informasi yang dapat diidentifikasi dan diidentifikasi secara pribadi (PII) dalam dokumen teks.
+ `bedrock`— Memungkinkan kepala sekolah menggunakan Amazon Bedrock untuk membuat daftar dan memanggil model pondasi.
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS kebijakan terkelola: AmazonSageMakerCanvasBedrockAccess
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon SageMaker Canvas dengan Amazon Bedrock.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3 di direktori “Sagemaker-\$1/Canvas”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCanvasForecastAccess
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon SageMaker Canvas dengan Amazon Forecast.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya dimulai dengan “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Kebijakan ini memberikan izin ke Amazon EMR Tanpa Server untuk layanan, AWS seperti Amazon S3, yang digunakan oleh Amazon Canvas untuk pemrosesan data besar. SageMaker
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang namanya termasuk "SageMaker" atau “pembuat sagemaker”; atau ditandai dengan "SageMaker“, tidak peka huruf besar/kecil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Kebijakan ini memberikan izin bagi pengguna di Amazon SageMaker Canvas untuk memulai percakapan dengan Amazon Q Developer. Fitur ini memerlukan izin untuk Amazon Q Developer dan layanan SageMaker AI Data Science Assistant.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `q`— Memungkinkan kepala sekolah untuk mengirim permintaan ke Pengembang Amazon Q.
+ `sagemaker-data-science-assistant`— Memungkinkan kepala sekolah untuk mengirim petunjuk ke layanan SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola Amazon SageMaker Canvas
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk SageMaker Canvas sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - Pembaruan ke kebijakan yang tersedia | 2 | Tambahkan `q:StartConversation` izin. | Januari 14, 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)- Kebijakan baru | 1 | Kebijakan awal | Desember 4, 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) - Pembaruan ke kebijakan yang tersedia | 4 | Tambahkan sumber daya ke `IAMPassOperationForEMRServerless` izin. | Agustus 16, 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) - Pembaruan ke kebijakan yang tersedia | 11 | Tambahkan sumber daya ke `IAMPassOperationForEMRServerless` izin. | Agustus 15, 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)- Kebijakan baru | 1 | Kebijakan awal | Juli 26, 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan`emr-serverless:CreateApplication`,`emr-serverless:ListApplications`,`emr-serverless:UpdateApplication`,`emr-serverless:GetApplication`,`emr-serverless:StartJobRun`,`emr-serverless:ListJobRuns`,`emr-serverless:GetJobRun`,`emr-serverless:CancelJobRun`, dan `emr-serverless:TagResource` izin. | Juli 18, 2024 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 10 | Tambahkan `application-autoscaling:DescribeScalingActivities``iam:PassRole`,`kms:DescribeKey`, dan `quicksight:ListNamespaces` izin. Tambahkan`sagemaker:CreateTrainingJob`,`sagemaker:CreateTransformJob`,`sagemaker:DescribeTrainingJob`,`sagemaker:DescribeTransformJob`,`sagemaker:StopAutoMLJob`,`sagemaker:StopTrainingJob`, dan `sagemaker:StopTransformJob` izin. Tambahkan`athena:ListTableMetadata`,`athena:ListDataCatalogs`, dan `athena:ListDatabases` izin. Tambahkan`glue:GetDatabases`,`glue:GetPartitions`, dan `glue:GetTables` izin. Tambahkan`emr-serverless:CreateApplication`,`emr-serverless:ListApplications`,`emr-serverless:UpdateApplication`,`emr-serverless:StopApplication`,`emr-serverless:GetApplication`,`emr-serverless:StartApplication`,,`emr-serverless:StartJobRun`,`emr-serverless:ListJobRuns`,`emr-serverless:GetJobRun`,`emr-serverless:CancelJobRun`, dan `emr-serverless:TagResource` izin. | 9 Juli 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)- Kebijakan baru | 1 | Kebijakan awal | Februari 2, 2024 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 9 | Tambahkan `sagemaker:ListEndpoints` izin. | Januari 24, 2024 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 8 | Tambahkan`sagemaker:UpdateEndpointWeightsAndCapacities`,`sagemaker:DescribeEndpointConfig`,`sagemaker:InvokeEndpointAsync`,`athena:ListDataCatalogs`,`athena:GetQueryExecution`,`athena:GetQueryResults`,`athena:StartQueryExecution`,,`athena:StopQueryExecution`,`athena:ListDatabases`,`cloudwatch:DescribeAlarms`,`cloudwatch:PutMetricAlarm`,`cloudwatch:DeleteAlarms`, dan `iam:CreateServiceLinkedRole` izin. | 8 Desember 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Pembaruan ke kebijakan yang tersedia | 2 | Pembaruan kecil untuk menegakkan maksud kebijakan sebelumnya, versi 1; tidak ada izin yang ditambahkan atau dihapus. | Desember 7, 2023 |
| [AmazonSageMakerCanvasAIServicesAkses](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan`bedrock:InvokeModelWithResponseStream`,`bedrock:GetModelCustomizationJob`,`bedrock:StopModelCustomizationJob`,`bedrock:GetCustomModel`,`bedrock:GetProvisionedModelThroughput`,`bedrock:DeleteProvisionedModelThroughput`,`bedrock:TagResource`,`bedrock:CreateModelCustomizationJob`,`bedrock:CreateProvisionedModelThroughput`, dan `iam:PassRole` izin. | November 29, 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Kebijakan baru | 1 | Kebijakan awal | 26 Oktober 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)- Kebijakan baru | 1 | Kebijakan awal | Oktober 6, 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 7 | Tambahkan`sagemaker:DeleteEndpointConfig`,`sagemaker:DeleteModel`, dan `sagemaker:InvokeEndpoint` izin. Juga tambahkan `s3:GetObject` izin untuk JumpStart sumber daya di wilayah tertentu. | September 29, 2023 |
| AmazonSageMakerCanvasAIServicesAkses - Perbarui ke kebijakan yang ada | 2 | Tambahkan `bedrock:InvokeModel` dan `bedrock:ListFoundationModels` izin. | September 29, 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 6 | Tambahkan `rds:DescribeDBInstances` izin. | 29 Agustus 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 5 | Tambahkan `application-autoscaling:PutScalingPolicy` dan `application-autoscaling:RegisterScalableTarget` izin. | Juli 24, 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 4 | Tambahkan`sagemaker:CreateModelPackage`,`sagemaker:CreateModelPackageGroup`,`sagemaker:DescribeModelPackage`,`sagemaker:DescribeModelPackageGroup`,`sagemaker:ListModelPackages`, dan `sagemaker:ListModelPackageGroups` izin. | 4 Mei 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 3 | Tambahkan`sagemaker:CreateAutoMLJobV2`,`sagemaker:DescribeAutoMLJobV2`, dan `glue:SearchTables` izin. | 24 Maret 2023 |
| AmazonSageMakerCanvasAIServicesAkses - Kebijakan baru | 1 | Kebijakan awal | Maret 23, 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 2 | Tambahkan `forecast:DeleteResourceTree` izin. | 6 Desember 2022 |
| AmazonSageMakerCanvasFullAccess - Kebijakan baru | 1 | Kebijakan awal | 8 September 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)- Kebijakan baru | 1 | Kebijakan awal | Agustus 24, 2022 |
# AWS kebijakan terkelola untuk Amazon SageMaker Feature Store
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Toko Fitur. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerFeatureStoreAccess
](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola Amazon SageMaker Feature Store
](#security-iam-awsmanpol-feature-store-updates)
## AWS kebijakan terkelola: AmazonSageMakerFeatureStoreAccess
Kebijakan ini memberikan izin yang diperlukan untuk mengaktifkan toko offline untuk grup SageMaker fitur Amazon Feature Store.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan kepala sekolah untuk menulis data ke toko offline Amazon S3 bucket. Ember ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”.
+ `s3`— Memungkinkan prinsipal membaca file manifes yang ada yang disimpan di `metadata` folder bucket S3 toko offline.
+ `glue`— Memungkinkan kepala sekolah untuk membaca dan memperbarui tabel Glue AWS . Izin ini terbatas pada tabel di `sagemaker_featurestore` folder.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola Amazon SageMaker Feature Store
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Toko Fitur sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan`s3:GetObject`,`glue:GetTable`, dan `glue:UpdateTable` izin. | Desember 5, 2022 |
| AmazonSageMakerFeatureStoreAccess - Perbarui ke kebijakan yang ada | 2 | Tambahkan `s3:PutObjectAcl` izin. | 23 Februari 2021 |
| AmazonSageMakerFeatureStoreAccess - Kebijakan baru | 1 | Kebijakan awal | 1 Desember 2020 |
# AWS kebijakan terkelola untuk SageMaker geospasial Amazon
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan SageMaker geospasial. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerGeospatialFullAccess
](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [
## AWS kebijakan terkelola: AmazonSageMakerGeospatialExecutionRole
](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker geospasial Amazon
](#security-iam-awsmanpol-geospatial-updates)
## AWS kebijakan terkelola: AmazonSageMakerGeospatialFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke SageMaker geospasial Amazon melalui dan SDK Konsol Manajemen AWS .
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker-geospatial`— Memungkinkan kepala sekolah akses penuh ke semua SageMaker sumber daya geospasial.
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke geospasial. SageMaker
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerGeospatialExecutionRole
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan SageMaker geospasial.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya mengandung "SageMaker“, “Sagemaker”, atau “sagemaker”.
+ `sagemaker-geospatial`— Memungkinkan kepala sekolah untuk mengakses pekerjaan pengamatan Bumi melalui API. `GetEarthObservationJob`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker geospasial Amazon
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk SageMaker geospasial sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)- Kebijakan yang diperbarui | 2 | Tambahkan `sagemaker-geospatial:GetRasterDataCollection` izin. | 10 Mei 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)- Kebijakan baru | 1 | Kebijakan awal | 30 November 2022 |
| AmazonSageMakerGeospatialExecutionRole - Kebijakan baru | 1 | Kebijakan awal | 30 November 2022 |
# AWS Kebijakan Terkelola untuk Amazon SageMaker Ground Truth
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan SageMaker AI Ground Truth. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerGroundTruthExecution
](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Ground Truth
](#security-iam-awsmanpol-groundtruth-updates)
## AWS kebijakan terkelola: AmazonSageMakerGroundTruthExecution
Kebijakan AWS terkelola ini memberikan izin yang biasanya diperlukan untuk menggunakan SageMaker AI Ground Truth.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `lambda`— Memungkinkan kepala sekolah untuk memanggil fungsi Lambda yang namanya mencakup “sagemaker” (case-insensitive), "“, atau"”. GtRecipe LabelingFunction
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang nama case-insensitive mengandung “groundtruth” atau “sagemaker”, atau ditandai dengan "”. SageMaker
+ `cloudwatch`— Memungkinkan kepala sekolah untuk memposting metrik. CloudWatch
+ `logs`— Memungkinkan kepala sekolah untuk membuat dan mengakses aliran log, dan memposting peristiwa log.
+ `sqs`— Memungkinkan kepala sekolah untuk membuat antrian Amazon SQS, dan mengirim serta menerima pesan Amazon SQS. Izin ini terbatas pada antrian yang namanya termasuk "”. GroundTruth
+ `sns`— Memungkinkan kepala sekolah untuk berlangganan dan mempublikasikan pesan ke topik Amazon SNS yang namanya tidak peka huruf besar/kecil berisi “groundtruth” atau “sagemaker”.
+ `ec2`— Memungkinkan prinsipal untuk membuat, mendeskripsikan, dan menghapus titik akhir VPC Amazon VPC yang nama layanan titik akhir VPCnya berisi "" atau “pelabelan”. sagemaker-task-resources
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Ground Truth
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI Ground Truth sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan`ec2:CreateVpcEndpoint`,`ec2:DescribeVpcEndpoints`, dan `ec2:DeleteVpcEndpoints` izin. | 29 April 2022 |
| AmazonSageMakerGroundTruthExecution - Perbarui ke kebijakan yang ada | 2 | Hapus `sqs:SendMessageBatch` izin. | April 11, 2022 |
| AmazonSageMakerGroundTruthExecution - Kebijakan baru | 1 | Kebijakan awal | 20 Juli 2020 |
# AWS kebijakan terkelola untuk Amazon SageMaker HyperPod
Kebijakan AWS terkelola berikut ini menambahkan izin yang diperlukan untuk menggunakan Amazon SageMaker HyperPod. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI atau peran HyperPod terkait layanan.
**Topics**
+ [
# AWS kebijakan terkelola: AmazonSageMakerHyperPodTrainingOperatorAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [
# AWS kebijakan terkelola: AmazonSageMakerHyperPodObservabilityAdminAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [
# AWS kebijakan terkelola: AmazonSageMakerHyperPodServiceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [
# AWS kebijakan terkelola: AmazonSageMakerClusterInstanceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [
## Amazon SageMaker AI memperbarui kebijakan SageMaker HyperPod terkelola
](#security-iam-awsmanpol-hyperpod-updates)
# AWS kebijakan terkelola: AmazonSageMakerHyperPodTrainingOperatorAccess
Kebijakan ini memberikan izin administratif yang diperlukan untuk menyiapkan operator SageMaker HyperPod pelatihan. Ini memungkinkan akses ke SageMaker HyperPod dan add-on Amazon EKS. Kebijakan ini mencakup izin untuk menjelaskan SageMaker HyperPod sumber daya di akun Anda.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `sagemaker:DescribeClusterNode`- Memungkinkan pengguna untuk mengembalikan informasi tentang HyperPod cluster.
Untuk melihat izin kebijakan ini, lihat [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)di Referensi Kebijakan AWS Terkelola.
# AWS kebijakan terkelola: AmazonSageMakerHyperPodObservabilityAdminAccess
Kebijakan ini memberikan hak administratif yang diperlukan untuk menyiapkan SageMaker HyperPod observabilitas Amazon. Ini memungkinkan akses ke Amazon Managed Service untuk Prometheus, Amazon Managed Grafana dan Amazon Elastic Kubernetes Service add-on. Kebijakan ini juga mencakup akses luas ke Grafana HTTP APIs melalui ServiceAccountTokens seluruh ruang kerja Grafana yang Dikelola Amazon di akun Anda.
**Detail izin**
Daftar berikut memberikan ikhtisar izin yang disertakan dalam kebijakan ini.
+ `prometheus`— Buat dan kelola Amazon Managed Service untuk ruang kerja Prometheus dan grup aturan
+ `grafana`— Membuat dan mengelola ruang kerja dan akun layanan Grafana yang Dikelola Amazon
+ `eks`— Membuat dan mengelola add-on `amazon-sagemaker-hyperpod-observability` Amazon EKS
+ `iam`— Melewati peran layanan IAM tertentu ke Amazon Managed Grafana dan Amazon EKS
+ `sagemaker`— Daftar dan menjelaskan SageMaker HyperPod cluster
+ `sso`— Membuat dan mengelola instans aplikasi IAM Identity Center untuk penyiapan Grafana Terkelola Amazon
+ `tag`— Menandai Layanan Dikelola Amazon untuk Prometheus, Grafana yang Dikelola Amazon, dan sumber daya tambahan Amazon EKS
Untuk melihat kebijakan JSON, lihat [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS kebijakan terkelola: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod membuat dan menggunakan peran terkait layanan yang diberi nama `AWSServiceRoleForSageMakerHyperPod` dengan `AmazonSageMakerHyperPodServiceRolePolicy` melekat pada peran tersebut. Kebijakan ini memberikan SageMaker HyperPod izin Amazon ke AWS layanan terkait seperti Amazon EKS dan Amazon. CloudWatch
Peran terkait layanan membuat pengaturan SageMaker HyperPod lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. SageMaker HyperPod mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya SageMaker HyperPod dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi SageMaker HyperPod sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
`AmazonSageMakerHyperPodServiceRolePolicy`Memungkinkan SageMaker HyperPod untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan atas nama Anda.
**Detail izin**
Kebijakan peran terkait layanan ini mencakup izin berikut.
+ `eks`— Memungkinkan kepala sekolah membaca informasi klaster Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Memungkinkan kepala sekolah untuk mempublikasikan aliran CloudWatch log Amazon ke. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk SageMaker HyperPod
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat SageMaker HyperPod klaster menggunakan konsol SageMaker AI, maka AWS CLI, atau AWS SDKs, akan SageMaker HyperPod membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini tetapi perlu membuatnya lagi, Anda dapat menggunakan proses yang sama (membuat SageMaker HyperPod klaster baru) untuk membuat ulang peran di akun Anda.
## Mengedit peran terkait layanan untuk SageMaker HyperPod
SageMaker HyperPod tidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForSageMakerHyperPod` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk SageMaker HyperPod
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
**Untuk menghapus sumber daya SageMaker HyperPod klaster menggunakan peran terkait layanan**
Gunakan salah satu opsi berikut untuk menghapus sumber daya SageMaker HyperPod cluster.
+ [Hapus SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) menggunakan konsol SageMaker AI
+ [Hapus SageMaker HyperPod klaster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) menggunakan AWS CLI
**catatan**
Jika SageMaker HyperPod layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForSageMakerHyperPod` terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk SageMaker HyperPod peran terkait layanan
SageMaker HyperPod mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Prasyarat](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html) untuk. SageMaker HyperPod
# AWS kebijakan terkelola: AmazonSageMakerClusterInstanceRolePolicy
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon. SageMaker HyperPod
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `cloudwatch`— Memungkinkan kepala sekolah untuk memposting metrik Amazon. CloudWatch
+ `logs`— Memungkinkan kepala sekolah untuk mempublikasikan CloudWatch aliran log.
+ `s3`— Memungkinkan kepala sekolah untuk membuat daftar dan mengambil file skrip siklus hidup dari bucket Amazon S3 di akun Anda. Ember ini terbatas pada mereka yang namanya dimulai dengan “sagemaker-”.
+ `ssmmessages`— Memungkinkan kepala sekolah untuk membuka koneksi ke. AWS Systems Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan SageMaker HyperPod terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola SageMaker HyperPod sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)- Kebijakan baru | 1 | Kebijakan awal | Agustus 22, 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)- Kebijakan yang diperbarui | 2 | Memperbarui kebijakan untuk memperbaiki cakupan peran ke bawah untuk menyertakan awalan. `service-role` Juga menambahkan izin untuk `eks:DeletePodIdentityAssociation` dan `eks:UpdatePodIdentityAssociation` yang diperlukan untuk tindakan end-to-end administratif. | Agustus 19, 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)- Kebijakan baru | 1 | Kebijakan awal | Juli 10, 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)- Kebijakan baru | 1 | Kebijakan awal | September 9, 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)- Kebijakan baru | 1 | Kebijakan awal | November 29, 2023 |
# AWS Kebijakan Terkelola untuk Tata Kelola Model SageMaker AI
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Tata Kelola Model SageMaker AI. Kebijakan ini tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerModelGovernanceUseAccess
](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [
## Amazon SageMaker AI memperbarui kebijakan yang dikelola SageMaker AI Model Governance
](#security-iam-awsmanpol-governance-updates)
## AWS kebijakan terkelola: AmazonSageMakerModelGovernanceUseAccess
Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk menggunakan semua fitur Tata Kelola SageMaker AI Amazon. Kebijakan ini tersedia di AWS akun Anda.
Kebijakan ini mencakup izin berikut.
+ `s3`— Ambil objek dari ember Amazon S3. Objek yang dapat diambil terbatas pada objek yang namanya tidak peka huruf besar/kecil berisi string. `"sagemaker"`
+ `kms`— Buat daftar AWS KMS kunci yang akan digunakan untuk enkripsi konten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan yang dikelola SageMaker AI Model Governance
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Tata Kelola Model SageMaker AI sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan pernyataan IDs (`Sid`). | Juni 4, 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Perbarui ke kebijakan yang ada | 2 | Tambahkan `sagemaker:DescribeModelPackage` dan `DescribeModelPackageGroup` izin. | Juli 17, 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Kebijakan baru | 1 | Kebijakan awal | 30 November 2022 |
# AWS Kebijakan Terkelola untuk Registri Model
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Model Registry. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol Amazon SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerModelRegistryFullAccess
](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola Model Registry
](#security-iam-awsmanpol-model-registry-updates)
## AWS kebijakan terkelola: AmazonSageMakerModelRegistryFullAccess
Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk menggunakan semua fitur Model Registry di dalam domain Amazon SageMaker AI. Kebijakan ini dilampirkan ke peran eksekusi saat mengonfigurasi pengaturan Registri Model untuk mengaktifkan izin Registri Model.
Kebijakan ini mencakup izin berikut.
+ `ecr`— Memungkinkan kepala sekolah untuk mengambil informasi, termasuk metadata, tentang gambar Amazon Elastic Container Registry (Amazon ECR) Registry ECR).
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran eksekusi ke layanan Amazon SageMaker AI.
+ `resource-groups`— Memungkinkan prinsipal untuk membuat, daftar, menandai, dan menghapus. AWS Resource Groups
+ `s3`— Memungkinkan prinsipal untuk mengambil objek dari bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) tempat versi model disimpan. Objek yang dapat diambil terbatas pada objek yang namanya tidak peka huruf besar/kecil berisi string. `"sagemaker"`
+ `sagemaker`— Memungkinkan prinsipal untuk membuat katalog, mengelola, dan menyebarkan model menggunakan Model Registry. SageMaker
+ `kms`— Mengizinkan hanya prinsipal layanan SageMaker AI untuk menambahkan hibah, menghasilkan kunci data, mendekripsi, dan AWS KMS kunci baca, dan hanya kunci yang diberi tag untuk penggunaan “pembuat sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola Model Registry
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Registri Model sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) - Pembaruan ke kebijakan yang tersedia | 2 | Tambahkan`kms:CreateGrant`,`kms:DescribeKey`,`kms:GenerateDataKey`, dan `kms:Decrypt` izin. | Juni 6, 2024 |
| AmazonSageMakerModelRegistryFullAccess - Kebijakan baru | 1 | Kebijakan awal | 12 April 2023 |
# AWS Kebijakan Terkelola untuk SageMaker Notebook
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Buku SageMaker Catatan. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerNotebooksServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Notebook
](#security-iam-awsmanpol-notebooks-updates)
## AWS kebijakan terkelola: AmazonSageMakerNotebooksServiceRolePolicy
Kebijakan AWS terkelola ini memberikan izin yang biasanya diperlukan untuk menggunakan Notebook Amazon SageMaker . Kebijakan ditambahkan ke kebijakan `AWSServiceRoleForAmazonSageMakerNotebooks` yang dibuat saat Anda onboard ke Amazon SageMaker Studio Classic. Untuk informasi selengkapnya tentang peran terkait layanan, lihat. [Peran terkait layanan](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked) Untuk informasi selengkapnya, lihat [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `elasticfilesystem`— Memungkinkan prinsipal untuk membuat dan menghapus sistem file Amazon Elastic File System (EFS), titik akses, dan target mount. Ini terbatas pada yang ditandai dengan kunci *ManagedByAmazonSageMakerResource*. Memungkinkan prinsipal untuk mendeskripsikan semua sistem file EFS, titik akses, dan target pemasangan. Memungkinkan prinsipal untuk membuat atau menimpa tag untuk titik akses EFS dan memasang target.
+ `ec2`— Memungkinkan prinsipal membuat antarmuka jaringan dan grup keamanan untuk instans Amazon Elastic Compute Cloud (EC2). Juga memungkinkan prinsipal untuk membuat dan menimpa tag untuk sumber daya ini.
+ `sso`— Memungkinkan prinsipal untuk menambah dan menghapus instance aplikasi terkelola ke. AWS IAM Identity Center
+ `sagemaker`— Memungkinkan kepala sekolah untuk membuat dan membaca profil pengguna SageMaker AI dan ruang SageMaker AI; menghapus spasi AI dan aplikasi SageMaker SageMaker AI; dan menambahkan dan mencantumkan tag.
+ `fsx`— Memungkinkan prinsipal untuk mendeskripsikan Amazon FSx untuk sistem file Lustre, dan menggunakan metadata untuk memasangnya di notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Notebook
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Pembaruan ke kebijakan yang tersedia | 10 | Tambahkan `fsx:DescribeFileSystems` izin. | November 14, 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Pembaruan ke kebijakan yang tersedia | 9 | Tambahkan `sagemaker:DeleteApp` izin. | Juli 24, 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada | 8 | Tambahkan`sagemaker:CreateSpace`,`sagemaker:DescribeSpace`,`sagemaker:DeleteSpace`,`sagemaker:ListTags`, dan `sagemaker:AddTags` izin. | 22 Mei 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada | 7 | Tambahkan `elasticfilesystem:TagResource` izin. | 9 Maret 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada | 6 | Tambahkan`elasticfilesystem:CreateAccessPoint`,`elasticfilesystem:DeleteAccessPoint`, dan `elasticfilesystem:DescribeAccessPoints` izin. | Januari 12, 2023 |
| | | SageMaker AI mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 1 Juni 2021 |
# AWS kebijakan terkelola untuk Aplikasi AI SageMaker Mitra Amazon
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Aplikasi AI SageMaker Mitra Amazon. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerPartnerAppsFullAccess
](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola Aplikasi AI Mitra
](#security-iam-awsmanpol-partner-apps-updates)
## AWS kebijakan terkelola: AmazonSageMakerPartnerAppsFullAccess
Memungkinkan akses administratif penuh ke Amazon SageMaker Partner AI Apps.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker`— Memberikan izin kepada pengguna Amazon SageMaker Partner AI App untuk mengakses aplikasi, membuat daftar aplikasi yang tersedia, meluncurkan web aplikasi UIs, dan terhubung menggunakan SDK aplikasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola Aplikasi AI Mitra
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Aplikasi AI Mitra sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Kebijakan baru | 1 | Kebijakan awal | Januari 17, 2025 |
# AWS Kebijakan Terkelola untuk SageMaker Saluran Pipa
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan SageMaker Pipelines. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerPipelinesIntegrations
](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Pipelines
](#security-iam-awsmanpol-pipelines-updates)
## AWS kebijakan terkelola: AmazonSageMakerPipelinesIntegrations
Kebijakan AWS terkelola ini memberikan izin yang biasanya diperlukan untuk menggunakan langkah Callback dan langkah Lambda di Pipelines. SageMaker Kebijakan ditambahkan ke kebijakan `AmazonSageMaker-ExecutionRole` yang dibuat saat Anda onboard ke Amazon SageMaker Studio Classic. Kebijakan dapat dilampirkan ke peran apa pun yang digunakan untuk membuat atau mengeksekusi pipeline.
Kebijakan ini memberikan izin AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon, dan IAM yang sesuai yang diperlukan saat membuat pipeline yang menjalankan fungsi Lambda atau menyertakan langkah panggilan balik, yang dapat digunakan untuk langkah persetujuan manual atau menjalankan beban kerja khusus.
Izin Amazon SQS memungkinkan Anda membuat antrean Amazon SQS yang diperlukan untuk menerima pesan panggilan balik, dan juga untuk mengirim pesan ke antrean tersebut.
Izin Lambda memungkinkan Anda membuat, membaca, memperbarui, dan menghapus fungsi Lambda yang digunakan dalam langkah-langkah pipeline, dan juga untuk menjalankan fungsi Lambda tersebut.
Kebijakan ini memberikan izin EMR Amazon yang diperlukan untuk menjalankan langkah EMR Amazon pipeline.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `elasticmapreduce`— Baca, tambahkan, dan batalkan langkah-langkah di klaster EMR Amazon yang sedang berjalan. Baca, buat, dan akhiri cluster EMR Amazon baru.
+ `events`— Baca, buat, perbarui, dan tambahkan target ke EventBridge aturan bernama `SageMakerPipelineExecutionEMRStepStatusUpdateRule` dan`SageMakerPipelineExecutionEMRClusterStatusUpdateRule`.
+ `iam`— Lulus peran IAM ke layanan AWS Lambda, Amazon EMR, dan Amazon EC2.
+ `lambda`— Buat, baca, perbarui, hapus, dan panggil fungsi Lambda. Izin ini terbatas pada fungsi yang namanya termasuk “sagemaker”.
+ `sqs`— Buat antrian Amazon SQS; kirim pesan Amazon SQS. Izin ini terbatas pada antrian yang namanya termasuk “pembuat sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Pipelines
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Pembaruan ke kebijakan yang tersedia | 3 | Menambahkan izin untuk`elasticmapreduce:RunJobFlows`,, `elasticmapreduce:TerminateJobFlows``elasticmapreduce:ListSteps`, dan`elasticmapreduce:DescribeCluster`. | 17 Februari 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Pembaruan ke kebijakan yang tersedia | 2 | Menambahkan izin untuk`lambda:GetFunction`,`events:DescribeRule`,,`events:PutRule`,`events:PutTargets`, `elasticmapreduce:AddJobFlowSteps``elasticmapreduce:CancelSteps`, dan`elasticmapreduce:DescribeStep`. | 20 April 2022 |
| AmazonSageMakerPipelinesIntegrations - Kebijakan baru | 1 | Kebijakan awal | 30 Juli 2021 |
# AWS kebijakan terkelola untuk rencana SageMaker pelatihan
Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk membuat dan mengelola rencana SageMaker pelatihan Amazon dan Kapasitas Cadangan dalam SageMaker AI. Kebijakan ini dapat dilampirkan pada peran IAM yang digunakan untuk membuat dan mengelola rencana pelatihan dan kapasitas cadangan dalam SageMaker AI termasuk [peran eksekusi SageMaker AI](sagemaker-roles.md) Anda.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerTrainingPlanCreateAccess
](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [
## Amazon SageMaker AI memperbarui kebijakan terkelola rencana SageMaker pelatihan
](#security-iam-awsmanpol-training-plan-updates)
## AWS kebijakan terkelola: AmazonSageMakerTrainingPlanCreateAccess
Kebijakan ini memberikan izin yang diperlukan untuk membuat, mendeskripsikan, mencari, dan membuat daftar rencana pelatihan di SageMaker AI. Selain itu, ini juga memungkinkan penambahan tag ke rencana pelatihan dan sumber daya kapasitas cadangan dalam kondisi tertentu.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sagemaker`— Buat rencana pelatihan dan kapasitas cadangan, izinkan penambahan tag ke rencana pelatihan dan kapasitas cadangan ketika tindakan penandaan secara khusus `CreateTrainingPlan` atau`CreateReservedCapacity`, memungkinkan menjelaskan rencana pelatihan, mengizinkan pencarian penawaran rencana pelatihan dan daftar rencana pelatihan yang ada di semua sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola rencana SageMaker pelatihan
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - Kebijakan diperbarui | 2 | Kebijakan yang diperbarui untuk menambahkan izin untuk mengambil informasi tentang kapasitas cadangan tertentu dan mencantumkan semua UltraServers dalam kapasitas cadangan. | Juli 29, 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Kebijakan baru | 1 | Kebijakan awal | Desember 4, 2024 |
# AWS Kebijakan Terkelola untuk SageMaker Proyek dan JumpStart
Kebijakan AWS terkelola ini menambahkan izin untuk menggunakan templat dan JumpStart solusi proyek Amazon SageMaker AI bawaan. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
SageMaker Memproyeksikan dan JumpStart menggunakan AWS Service Catalog untuk menyediakan AWS sumber daya di akun pelanggan. Beberapa sumber daya yang dibuat perlu mengambil peran eksekusi. Misalnya, jika AWS Service Catalog membuat CodePipeline pipeline atas nama pelanggan untuk CI/CD proyek pembelajaran mesin SageMaker AI, maka pipeline tersebut memerlukan peran IAM.
[AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)Peran tersebut memiliki izin yang diperlukan untuk meluncurkan portofolio SageMaker AI produk dari AWS Service Catalog. [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)Peran tersebut memiliki izin yang diperlukan untuk menggunakan portofolio SageMaker AI produk dari AWS Service Catalog. `AmazonSageMakerServiceCatalogProductsLaunchRole`Peran meneruskan `AmazonSageMakerServiceCatalogProductsUseRole` peran ke sumber daya produk AWS Service Catalog yang disediakan.
**Topics**
+ [
## AWS kebijakan terkelola: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Kebijakan
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsEventsServiceRole Kebijakan
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Kebijakan
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsGlueServiceRole Kebijakan
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Kebijakan
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [
## Amazon SageMaker AI memperbarui kebijakan AWS terkelola AWS Service Catalog
](#security-iam-awsmanpol-sc-updates)
## AWS kebijakan terkelola: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Kebijakan peran layanan ini digunakan oleh AWS Service Catalog layanan untuk menyediakan produk dari portofolio Amazon SageMaker AI. Kebijakan ini memberikan izin ke serangkaian AWS layanan terkait termasuk AWS CodePipeline,,, AWS CodeCommit AWS Glue AWS CodeBuild AWS CloudFormation, dan lainnya.
`AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy`Kebijakan ini dimaksudkan untuk digunakan oleh `AmazonSageMakerServiceCatalogProductsLaunchRole` peran yang dibuat dari konsol SageMaker AI. Kebijakan ini menambahkan izin untuk menyediakan AWS sumber daya untuk SageMaker Projects dan JumpStart menggunakan Service Catalog ke akun pelanggan.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `apigateway`— Memungkinkan peran untuk memanggil titik akhir API Gateway yang ditandai dengan. `sagemaker:launch-source`
+ `cloudformation`— Memungkinkan AWS Service Catalog untuk membuat, memperbarui, dan menghapus CloudFormation tumpukan. Juga memungkinkan Service Catalog untuk menandai dan menghapus tag sumber daya.
+ `codebuild`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat, memperbarui, dan menghapus CodeBuild proyek.
+ `codecommit`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat, memperbarui, dan menghapus CodeCommit repositori.
+ `codepipeline`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat, memperbarui, dan menghapus CodePipelines.
+ `codeconnections`, `codestar-connections` — Juga memungkinkan peran untuk lulus AWS CodeConnections dan AWS CodeStar koneksi.
+ `cognito-idp`— Memungkinkan peran untuk membuat, memperbarui, dan menghapus grup dan kumpulan pengguna. Juga memungkinkan penandaan sumber daya.
+ `ecr`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat dan menghapus repositori Amazon ECR. Juga memungkinkan penandaan sumber daya.
+ `events`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat dan menghapus EventBridge aturan. Digunakan untuk mengikat berbagai komponen pipa CICD.
+ `firehose`— Memungkinkan peran untuk berinteraksi dengan aliran Firehose.
+ `glue`— Memungkinkan peran untuk berinteraksi dengan AWS Glue.
+ `iam`— Memungkinkan peran untuk melewati peran yang ditambahkan. `AmazonSageMakerServiceCatalog` Ini diperlukan ketika Proyek menyediakan AWS Service Catalog produk, sebagai peran perlu diteruskan AWS Service Catalog.
+ `lambda`— Memungkinkan peran untuk berinteraksi dengan AWS Lambda. Juga memungkinkan penandaan sumber daya.
+ `logs`— Memungkinkan peran untuk membuat, menghapus, dan mengakses aliran log.
+ `s3`— Memungkinkan peran yang diambil oleh AWS Service Catalog dan diteruskan CloudFormation untuk mengakses bucket Amazon S3 tempat kode template Project disimpan.
+ `sagemaker`— Memungkinkan peran untuk berinteraksi dengan berbagai layanan SageMaker AI. Ini dilakukan baik CloudFormation selama penyediaan template, maupun CodeBuild selama eksekusi pipeline CICD. Juga memungkinkan penandaan sumber daya berikut: titik akhir, konfigurasi titik akhir, model, saluran pipa, proyek, dan paket model.
+ `states`— Memungkinkan peran untuk membuat, menghapus, dan memperbarui Step Functions yang ditambahkan. `sagemaker`
Untuk melihat izin kebijakan ini, lihat [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Kebijakan ini digunakan oleh Amazon API Gateway dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan ke peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh API Gateway yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `lambda`— Memanggil fungsi yang dibuat oleh template mitra.
+ `sagemaker`— Memanggil titik akhir yang dibuat oleh template mitra.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Kebijakan ini digunakan oleh AWS CloudFormation dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh CloudFormation yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `iam`— Lulus `AmazonSageMakerServiceCatalogProductsLambdaRole` dan `AmazonSageMakerServiceCatalogProductsApiGatewayRole` peran.
+ `lambda`— Buat, perbarui, hapus, dan panggil AWS Lambda fungsi; mengambil, menerbitkan, dan menghapus versi lapisan Lambda.
+ `apigateway`— Buat, perbarui, dan hapus sumber daya Amazon API Gateway.
+ `s3`— Ambil `lambda-auth-code/layer.zip` file dari bucket Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Kebijakan ini digunakan oleh AWS Lambda dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh Lambda yang membutuhkan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `secretsmanager`— Ambil data dari rahasia yang disediakan mitra untuk template mitra.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Kebijakan ini digunakan oleh Amazon API Gateway dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan ke peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh API Gateway yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `logs`— Buat dan baca grup CloudWatch Log, aliran, dan acara; perbarui acara; jelaskan berbagai sumber daya.
Izin ini terbatas pada sumber daya yang awalan grup lognya dimulai dengan “aws/apigateway/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Kebijakan
Kebijakan ini digunakan oleh AWS CloudFormation dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh CloudFormation yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sagemaker`— Izinkan akses ke berbagai sumber daya SageMaker AI tidak termasuk domain, profil pengguna, aplikasi, dan definisi aliran.
+ `iam`— Lulus `AmazonSageMakerServiceCatalogProductsCodeBuildRole` dan `AmazonSageMakerServiceCatalogProductsExecutionRole` peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Kebijakan ini digunakan oleh AWS CodeBuild dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh CodeBuild yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sagemaker`— Izinkan akses ke berbagai sumber daya SageMaker AI.
+ `codecommit`— Unggah CodeCommit arsip ke CodeBuild pipeline, dapatkan status unggah, dan batalkan unggahan; dapatkan informasi cabang dan komit. Izin ini terbatas pada sumber daya yang namanya dimulai dengan “sagemaker-”.
+ `ecr`— Buat repositori Amazon ECR dan gambar kontainer; unggah lapisan gambar. Izin ini terbatas pada repositori yang namanya dimulai dengan “sagemaker-”.
`ecr`— Baca semua sumber daya.
+ `iam`— Lulus peran berikut:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`ke AWS CloudFormation.
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`ke AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`ke AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`ke Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`ke Amazon SageMaker AI.
+ `logs`— Buat dan baca grup CloudWatch Log, aliran, dan acara; perbarui acara; jelaskan berbagai sumber daya.
Izin ini terbatas pada sumber daya yang awalan namanya dimulai dengan “aws/codebuild/”.
+ `s3`— Buat, baca, dan daftar ember Amazon S3. Izin ini terbatas pada bucket yang namanya dimulai dengan “sagemaker-”.
+ `codeconnections`, `codestar-connections` - Penggunaan AWS CodeConnections dan AWS CodeStar koneksi.
Untuk melihat izin kebijakan ini, lihat [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Kebijakan ini digunakan oleh AWS CodePipeline dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh CodePipeline yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `cloudformation`— Membuat, membaca, menghapus, dan memperbarui CloudFormation tumpukan; membuat, membaca, menghapus, dan menjalankan set perubahan; mengatur kebijakan tumpukan; tag dan untag sumber daya. Izin ini terbatas pada sumber daya yang namanya dimulai dengan “sagemaker-”.
+ `s3`— Buat, baca, daftar, dan hapus bucket Amazon S3; menambah, membaca, dan menghapus objek dari bucket; membaca dan mengatur konfigurasi CORS; baca daftar kontrol akses (ACL); dan baca Wilayah tempat AWS bucket berada.
Izin ini terbatas pada ember yang namanya dimulai dengan “sagemaker-” atau “aws-glue-.
+ `iam`— Lulus `AmazonSageMakerServiceCatalogProductsCloudformationRole` peran.
+ `codebuild`— Dapatkan informasi CodeBuild build dan mulai membangun. Izin ini terbatas pada proyek dan membangun sumber daya yang namanya dimulai dengan “sagemaker-”.
+ `codecommit`— Unggah CodeCommit arsip ke CodeBuild pipeline, dapatkan status unggah, dan batalkan unggahan; dapatkan informasi cabang dan komit.
+ `codeconnections`, `codestar-connections` - Penggunaan AWS CodeConnections dan AWS CodeStar koneksi.
Untuk melihat izin kebijakan ini, lihat [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsEventsServiceRole Kebijakan
Kebijakan ini digunakan oleh Amazon EventBridge dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh EventBridge yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `codepipeline`— Mulai CodeBuild eksekusi. Izin ini terbatas pada saluran pipa yang namanya dimulai dengan “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Kebijakan
Kebijakan ini digunakan oleh Amazon Data Firehose dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon AI. SageMaker Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh Firehose yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `firehose`— Kirim catatan Firehose. Izin ini terbatas pada sumber daya yang nama aliran pengirimannya dimulai dengan “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsGlueServiceRole Kebijakan
Kebijakan ini digunakan oleh AWS Glue dalam produk yang disediakan AWS Service Catalog dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh Glue yang membutuhkan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `glue`— Buat, baca, dan hapus AWS Glue partisi, tabel, dan versi tabel. Izin ini terbatas pada sumber daya yang namanya dimulai dengan “sagemaker-”. Buat dan baca database AWS Glue. Izin ini terbatas pada database yang namanya “default”, “global\$1temp”, atau dimulai dengan “sagemaker-”. Dapatkan fungsi yang ditentukan pengguna.
+ `s3`— Buat, baca, daftar, dan hapus bucket Amazon S3; menambah, membaca, dan menghapus objek dari bucket; membaca dan mengatur konfigurasi CORS; baca daftar kontrol akses (ACL), dan baca Wilayah tempat AWS bucket berada.
Izin ini terbatas pada ember yang namanya dimulai dengan “sagemaker-” atau “aws-glue-”.
+ `logs`— Buat, baca, dan hapus grup CloudWatch log log, aliran, dan pengiriman; dan buat kebijakan sumber daya.
Izin ini terbatas pada sumber daya yang awalan namanya dimulai dengan “aws/glue/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Kebijakan
Kebijakan ini digunakan oleh AWS Lambda dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh Lambda yang membutuhkan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sagemaker`— Izinkan akses ke berbagai sumber daya SageMaker AI.
+ `ecr`— Buat dan hapus repositori Amazon ECR; membuat, membaca, dan menghapus gambar kontainer; unggah lapisan gambar. Izin ini terbatas pada repositori yang namanya dimulai dengan “sagemaker-”.
+ `events`— Buat, baca, dan hapus EventBridge aturan Amazon; dan buat dan hapus target. Izin ini terbatas pada aturan yang namanya dimulai dengan “sagemaker-”.
+ `s3`— Buat, baca, daftar, dan hapus bucket Amazon S3; menambah, membaca, dan menghapus objek dari bucket; membaca dan mengatur konfigurasi CORS; baca daftar kontrol akses (ACL), dan baca Wilayah tempat AWS bucket berada.
Izin ini terbatas pada ember yang namanya dimulai dengan “sagemaker-” atau “aws-glue-”.
+ `iam`— Lulus `AmazonSageMakerServiceCatalogProductsExecutionRole` peran.
+ `logs`— Buat, baca, dan hapus grup CloudWatch log log, aliran, dan pengiriman; dan buat kebijakan sumber daya.
Izin ini terbatas pada sumber daya yang awalan namanya dimulai dengan “aws/lambda/”.
+ `codebuild`— Mulai dan dapatkan informasi tentang AWS CodeBuild build.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan AWS terkelola AWS Service Catalog
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)- Kebijakan yang diperbarui | 10 | Diperbarui `codestar-connections:PassConnection` dan `codeconnections:PassConnection` izin. | September 27, 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)- Kebijakan yang diperbarui | 3 | Diperbarui `codestar-connections:UseConnection` dan `codeconnections:UseConnection` izin. | September 27, 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)- Kebijakan yang diperbarui | 3 | Diperbarui `codestar-connections:UseConnection` dan `codeconnections:UseConnection` izin. | September 27, 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)- Kebijakan yang diperbarui | 9 | Tambahkan`cloudformation:TagResource`,`cloudformation:UntagResource`, dan `codeconnections:PassConnection` izin. | Juli 1, 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 7 | Kembalikan kebijakan ke versi 7 (v7). Hapus`cloudformation:TagResource`,`cloudformation:UntagResource`, dan `codeconnections:PassConnection` izin. | Juni 12, 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 8 | Tambahkan`cloudformation:TagResource`,`cloudformation:UntagResource`, dan `codeconnections:PassConnection` izin. | Juni 11, 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)- Kebijakan yang diperbarui | 2 | Tambahkan `codestar-connections:UseConnection` dan `codeconnections:UseConnection` izin. | Juni 11, 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)- Kebijakan yang diperbarui | 2 | Tambahkan`cloudformation:TagResource`,`cloudformation:UntagResource`, `codestar-connections:UseConnection` dan `codeconnections:UseConnection` izin. | Juni 11, 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)- Kebijakan yang diperbarui | 2 | Tambahkan `codebuild:StartBuild` dan `codebuild:BatchGetBuilds` izin. | Juni 11, 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Kebijakan awal | 1 Agustus 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Kebijakan awal | 1 Agustus 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Kebijakan awal | 1 Agustus 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)- Kebijakan yang diperbarui | 2 | Tambahkan izin untuk`glue:GetUserDefinedFunctions`. | 26 Agustus 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 7 | Tambahkan izin untuk`sagemaker:AddTags`. | 2 Agustus 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 6 | Tambahkan izin untuk`lambda:TagResource`. | 14 Juli 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRoleKebijakan | 1 | Kebijakan awal | 4 April 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Kebijakan awal | 24 Maret 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Kebijakan awal | 24 Maret 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Kebijakan awal | 24 Maret 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 5 | Tambahkan izin untuk`ecr-idp:TagResource`. | Maret 21, 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Kebijakan awal | Februari 22, 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Kebijakan awal | Februari 22, 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Kebijakan awal | Februari 22, 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRoleKebijakan | 1 | Kebijakan awal | Februari 22, 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 4 | Tambahkan izin untuk `cognito-idp:TagResource` dan`s3:PutBucketCORS`. | 16 Februari 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 3 | Tambahkan izin baru untuk`sagemaker`. Buat, baca, perbarui, dan hapus SageMaker Gambar. | 15 September 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 2 | Tambahkan izin untuk `sagemaker` dan`codestar-connections`. Buat, baca, perbarui, dan hapus repositori kode. Lewati AWS CodeStar koneksi ke AWS CodePipeline. | 1 Juli 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Kebijakan awal | 27 November 2020 |
## SageMaker Pembaruan AI untuk Kebijakan AWS Terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Pembaruan ke kebijakan yang tersedia | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/security-iam-awsmanpol.html) | Desember 4, 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Pembaruan ke kebijakan yang tersedia | 26 | Tambahkan `sagemaker:AddTags` izin. | Maret 29, 2024 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 25 | Tambahkan`sagemaker:CreateApp`,`sagemaker:DescribeApp`,`sagemaker:DeleteApp`,`sagemaker:CreateSpace`,`sagemaker:UpdateSpace`,`sagemaker:DeleteSpace`,`s3express:CreateSession`,`s3express:CreateBucket`, dan `s3express:ListAllMyDirectoryBuckets` izin. | 30 November 2023 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 24 | Tambahkan`sagemaker-geospatial:*`,`sagemaker:AddTags`,`sagemaker-ListTags`,`sagemaker-DescribeSpace`, dan `sagemaker:ListSpaces` izin. | 30 November 2022 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 23 | Tambahkan `glue:UpdateTable`. | Juni 29, 2022 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 22 | Tambahkan `cloudformation:ListStackResources`. | 1 Mei 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) - Pembaruan ke kebijakan yang tersedia | 11 | Tambahkan`sagemaker:QueryLineage`,`sagemaker:GetLineageGroupPolicy`,`sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy` izin. | 1 Desember 2021 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 21 | Tambahkan `sns:Publish` izin untuk titik akhir dengan Inferensi Async diaktifkan. | 8 September 2021 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 20 | Perbarui `iam:PassRole` sumber daya dan izin. | 15 Juli 2021 |
| AmazonSageMakerReadOnly - Perbarui ke kebijakan yang ada | 10 | API baru `BatchGetRecord` ditambahkan untuk SageMaker AI Feature Store. | 10 Juni 2021 |
| | | SageMaker AI mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 1 Juni 2021 |