Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan keamanan di Amazon SageMaker AI
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk Amazon SageMaker AI, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan SageMaker AI. Topik berikut menunjukkan cara mengonfigurasi SageMaker AI untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya SageMaker AI Anda.
**Topics**
+ [Privasi Data di Amazon SageMaker AI](data-privacy.md)
+ [Perlindungan Data di Amazon SageMaker AI](data-protection.md)
+ [AWS Identity and Access Management untuk Amazon SageMaker AI](security-iam.md)
+ [Pembuatan Log dan Pemantauan](sagemaker-incident-response.md)
+ [Validasi kepatuhan untuk Amazon AI SageMaker](sagemaker-compliance.md)
+ [Ketahanan di Amazon AI SageMaker](disaster-recovery-resiliency.md)
+ [Keamanan Infrastruktur di Amazon SageMaker AI](infrastructure-security.md)
# Privasi Data di Amazon SageMaker AI
Amazon SageMaker AI mengumpulkan informasi agregat tentang penggunaan perpustakaan yang AWS dimiliki dan open source yang digunakan selama pelatihan. SageMaker AI menggunakan metadata agregat ini untuk meningkatkan layanan dan pengalaman pelanggan.
Bagian berikut memberikan penjelasan untuk jenis metadata yang dikumpulkan SageMaker AI dan cara memilih keluar dari pengumpulan metadata.
## Jenis informasi yang dikumpulkan
**Informasi Penggunaan**
Metadata dari perpustakaan AWS milik dan open source yang digunakan dengan SageMaker pelatihan, seperti yang digunakan untuk pelatihan terdistribusi, kompilasi, dan kuantisasi.
**Kesalahan**
Kesalahan dari perilaku tak terduga termasuk kegagalan, crash, kaskade, dan kegagalan yang dihasilkan dari interaksi dengan platform pelatihan. SageMaker
## Cara memilih keluar dari koleksi metadata
Anda dapat memilih untuk tidak membagikan metadata gabungan dengan SageMaker pelatihan saat membuat pekerjaan pelatihan menggunakan API. `CreateTrainingJob` Jika Anda menggunakan konsol untuk membuat pekerjaan pelatihan, pengumpulan metadata dinonaktifkan secara default.
**penting**
Anda harus memilih untuk memilih keluar dari pengumpulan metadata untuk setiap pekerjaan pelatihan yang Anda kirimkan. Anda juga harus memilih untuk memilih keluar dalam panggilan API seperti yang ditunjukkan dalam contoh berikut. Anda tidak dapat memilih untuk memilih keluar dalam skrip pelatihan.
Bagian berikut menunjukkan bagaimana Anda dapat memilih keluar dari koleksi metadata menggunakan AWS CLI, AWS SDK untuk Python (Boto3), atau Python SageMaker SDK.
### Menyisih dari koleksi metadata menggunakan () AWS Command Line Interface AWS CLI
Untuk memilih keluar dari koleksi metadata menggunakan AWS CLI, setel variabel lingkungan `OPT_OUT_TRACKING` ke `1` dalam `create-training-job` API seperti yang ditunjukkan dalam contoh kode berikut.
```
aws sagemaker create-training-job \
--training-job-name your_job_name \
--algorithm-specification AlgorithmName=your_algorithm_name\
--output-data-config S3OutputPath=s3://bucket-name/key-name-prefix \
--resource-config InstanceType=ml.c5.xlarge, InstanceCount=1 \
--stopping-condition MaxRuntimeInSeconds=100 \
--environment OPT_OUT_TRACKING=1
```
### Menyisih dari koleksi metadata menggunakan AWS SDK untuk Python (Boto3)
Untuk memilih keluar dari koleksi metadata menggunakan SDK for Python (Boto3), setel `1` variabel `OPT_OUT_TRACKING` lingkungan ke dalam API seperti yang ditunjukkan pada contoh kode berikut. `create_training_job`
```
boto3.client('sagemaker').create_training_job(
TrainingJobName='your_training_job',
AlgorithmSpecification={
'AlgorithmName': 'your_algorithm_name',
'TrainingInputMode': 'File',
},
RoleArn='your_arn',
OutputDataConfig={
'S3OutputPath': 's3://bucket-name/key-name-prefix',
},
ResourceConfig={
'InstanceType': 'ml.m4.xlarge',
'InstanceCount': 1,
'VolumeSizeInGB': 123,
},
StoppingCondition={
'MaxRuntimeInSeconds': 123,
},
Environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Menyisih dari koleksi metadata menggunakan Python SageMaker SDK
Untuk memilih keluar dari pengumpulan metadata menggunakan SageMaker Python SDK, atur variabel lingkungan `OPT_OUT_TRACKING` ke `1` dalam estimator SageMaker AI seperti yang ditunjukkan pada contoh kode berikut.
```
sagemaker.estimator(
image_uri='path_to_container',
role='rolearn',
instance_count=1,
instance_type='ml.c5.xlarge',
environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Menyisih dari seluruh akun pengumpulan metadata
Jika Anda ingin memilih keluar dari pengumpulan metadata untuk beberapa akun, Anda dapat mengatur variabel lingkungan untuk memilih keluar dari melacak seluruh akun. Anda harus menggunakan SageMaker AI Python SDK untuk memilih keluar dari pengumpulan metadata di tingkat akun.
Contoh kode berikut menunjukkan bagaimana memilih keluar dari melacak seluruh akun.
```
SchemaVersion: '1.0'
SageMaker:
TrainingJob:
Environment:
'OPT_OUT_TRACKING': '1'
```
Untuk informasi selengkapnya tentang cara memilih keluar dari melacak seluruh akun, lihat [Mengonfigurasi dan menggunakan default dengan Python SDK](https://sagemaker.readthedocs.io/en/stable/overview.html#id22). SageMaker
## Informasi tambahan
**Jika layanan hilir Anda bergantung pada pelatihan SageMaker AI**
Jika Anda mengoperasikan layanan yang mengandalkan SageMaker pelatihan, sangat disarankan agar Anda memberi tahu pelanggan Anda tentang pengumpulan metadata agregat di platform SageMaker Pelatihan dan memberi mereka pilihan untuk memilih keluar. Atau, Anda dapat memilih keluar dari pengumpulan metadata atas nama pelanggan Anda.
**Jika Anda adalah klien atau pelanggan layanan yang menggunakan pelatihan SageMaker AI**
Jika Anda adalah klien atau pelanggan layanan yang menggunakan SageMaker pelatihan, gunakan metode pilihan Anda di bagian sebelumnya untuk memilih keluar dari pengumpulan metadata.
# Perlindungan Data di Amazon SageMaker AI
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon SageMaker AI. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan logging aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon SageMaker AI atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
**Topics**
+ [Lindungi Data saat Istirahat Menggunakan Enkripsi](encryption-at-rest.md)
+ [Melindungi Data dalam Transit dengan Enkripsi](encryption-in-transit.md)
+ [Manajemen kunci](key-management.md)
+ [Privasi Lalu Lintas Kerja Internet](inter-network-privacy.md)
# Lindungi Data saat Istirahat Menggunakan Enkripsi
Amazon SageMaker AI secara otomatis mengenkripsi data Anda menggunakan Amazon S3 (SSE-S3) secara default Kunci yang dikelola AWS untuk fitur berikut: Notebook studio, instans notebook, data pembuatan model, artefak model, dan output dari pekerjaan Pelatihan, Transformasi Batch, dan Pemrosesan.
Untuk akses lintas akun, Anda harus menentukan kunci yang dikelola pelanggan Anda sendiri saat membuat sumber daya SageMaker AI, karena default Kunci yang dikelola AWS untuk Amazon S3 tidak dapat dibagikan di seluruh akun. Untuk keluaran data ke Amazon S3 Express One Zone, data dienkripsi menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3). Selain itu, output data ke bucket direktori Amazon S3 tidak dapat dienkripsi dengan enkripsi sisi server menggunakan kunci (SSE-KMS). AWS Key Management Service Untuk informasi lebih lanjut tentang AWS KMS, lihat [Apa itu AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Topics**
+ [Notebook studio](encryption-at-rest-studio.md)
+ [Instans notebook, pekerjaan SageMaker AI, dan Titik Akhir](encryption-at-rest-nbi.md)
+ [SageMaker kemampuan geospasial](geospatial-encryption-at-rest.md)
# Notebook studio
Di Amazon SageMaker Studio, notebook dan data SageMaker Studio Anda dapat disimpan di lokasi berikut:
+ Bucket S3 — Saat Anda melakukan onboard ke Studio dan mengaktifkan sumber daya notebook yang dapat dibagikan, SageMaker AI membagikan snapshot dan metadata notebook dalam bucket Amazon Simple Storage Service (Amazon S3).
+ Volume EFS — Saat Anda onboard ke Studio, SageMaker AI melampirkan volume Amazon Elastic File System (Amazon EFS) ke domain Anda untuk menyimpan notebook Studio dan file data Anda. Volume EFS tetap ada setelah domain dihapus.
+ Volume EBS — Saat Anda membuka notebook di Studio, Amazon Elastic Block Store (Amazon EBS) dilampirkan ke instance tempat notebook berjalan. Volume EBS tetap ada selama durasi instance.
SageMaker AI menggunakan AWS Key Management Service (AWS KMS) untuk mengenkripsi bucket S3 dan kedua volume. Secara default, ia menggunakan kunci KMS yang dikelola di akun AWS layanan. Untuk kontrol lebih lanjut, Anda dapat menentukan kunci terkelola pelanggan Anda sendiri saat Anda onboard ke Studio atau melalui SageMaker API. Untuk informasi selengkapnya, lihat [Ikhtisar domain Amazon SageMaker AI](gs-studio-onboard.md) dan [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
Di `CreateDomain` API, Anda menggunakan `S3KmsKeyId` parameter untuk menentukan kunci terkelola pelanggan untuk buku catatan yang dapat dibagikan. Anda menggunakan `KmsKeyId` parameter untuk menentukan kunci terkelola pelanggan untuk volume EFS dan EBS. Kunci yang dikelola pelanggan yang sama digunakan untuk kedua volume. Kunci yang dikelola pelanggan untuk notebook yang dapat dibagikan dapat menjadi kunci yang dikelola pelanggan yang sama seperti yang digunakan untuk volume atau kunci yang dikelola pelanggan yang berbeda.
**penting**
Direktori kerja pengguna Anda dalam volume penyimpanan adalah`/home/sagemaker-user`. Jika Anda menentukan AWS KMS kunci Anda sendiri, semua yang ada di direktori kerja dienkripsi menggunakan kunci yang dikelola pelanggan Anda. Jika Anda tidak menentukan AWS KMS kunci, data di dalamnya `/home/sagemaker-user` dienkripsi dengan kunci AWS terkelola. Terlepas dari apakah Anda menentukan AWS KMS kunci, semua data di luar direktori kerja dienkripsi dengan Kunci AWS Terkelola.
# Instans notebook, pekerjaan SageMaker AI, dan Titik Akhir
Untuk mengenkripsi volume penyimpanan machine learning (ML) yang dilampirkan ke notebook, pekerjaan pemrosesan, pekerjaan pelatihan, pekerjaan tuning hyperparameter, pekerjaan transformasi batch, dan titik akhir, Anda dapat meneruskan kunci ke AI. AWS KMS SageMaker Jika Anda tidak menentukan kunci KMS, SageMaker AI mengenkripsi volume penyimpanan dengan kunci sementara dan membuangnya segera setelah mengenkripsi volume penyimpanan. Untuk instance notebook, jika Anda tidak menentukan kunci KMS, SageMaker AI mengenkripsi volume OS dan volume data ML dengan kunci KMS yang dikelola sistem.
Anda dapat menggunakan AWS KMS kunci AWS terkelola untuk mengenkripsi semua volume OS instance. Anda dapat mengenkripsi semua volume data ML untuk semua instans SageMaker AI dengan AWS KMS kunci yang Anda tentukan. Volume penyimpanan ML dipasang sebagai berikut:
+ Notebook - `/home/ec2-user/SageMaker`
+ Pemrosesan - `/opt/ml/processing` dan `/tmp/`
+ Pelatihan - `/opt/ml/` dan `/tmp/`
+ Batch - `/opt/ml/` dan `/tmp/`
+ Titik akhir - `/opt/ml/` dan `/tmp/`
Pemrosesan, transformasi batch, dan pelatihan wadah pekerjaan dan penyimpanannya bersifat fana. Ketika pekerjaan selesai, output diunggah ke Amazon S3 AWS KMS menggunakan enkripsi dengan kunci AWS KMS opsional yang Anda tentukan dan instans dirobohkan. Jika AWS KMS Kunci tidak disediakan dalam permintaan pekerjaan, SageMaker AI menggunakan AWS KMS kunci default untuk Amazon S3 untuk akun peran Anda. Jika data keluaran disimpan di Amazon S3 Express One Zone, data tersebut dienkripsi dengan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3). Enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) saat ini tidak didukung untuk menyimpan SageMaker data keluaran AI di bucket direktori Amazon S3.
**catatan**
Kebijakan kunci untuk Kunci AWS Terkelola untuk Amazon S3 tidak dapat diedit, sehingga izin lintas akun tidak dapat diberikan untuk kebijakan utama ini. Jika bucket Amazon S3 keluaran untuk permintaan tersebut berasal dari akun lain, tentukan Kunci AWS KMS Pelanggan Anda sendiri dalam permintaan pekerjaan dan pastikan bahwa peran eksekusi pekerjaan memiliki izin untuk mengenkripsi data dengannya.
**penting**
Data sensitif yang perlu dienkripsi dengan kunci KMS untuk alasan kepatuhan harus disimpan dalam volume penyimpanan ML atau di Amazon S3, yang keduanya dapat dienkripsi menggunakan kunci KMS yang Anda tentukan.
Saat Anda membuka instance notebook, SageMaker AI menyimpannya dan file apa pun yang terkait dengannya di folder SageMaker AI dalam volume penyimpanan ML secara default. Saat Anda menghentikan instance notebook, SageMaker AI akan membuat snapshot dari volume penyimpanan ML. Setiap penyesuaian ke sistem operasi instance yang dihentikan, seperti pustaka kustom yang diinstal atau pengaturan tingkat sistem operasi, yang disimpan di luar folder `/home/ec2-user/SageMaker` akan hilang. Pertimbangkan untuk menggunakan konfigurasi siklus hidup untuk mengotomatiskan penyesuaian instance notebook default. Saat Anda menghentikan instance, snapshot dan volume penyimpanan ML akan dihapus. Data apa pun yang Anda perlukan untuk bertahan di luar masa pakai instans notebook harus ditransfer ke bucket Amazon S3.
Jika instance notebook tidak diperbarui dan menjalankan perangkat lunak yang tidak aman, SageMaker AI dapat memperbarui instance secara berkala sebagai bagian dari pemeliharaan rutin. Selama pembaruan ini, data di luar folder `/home/ec2-user/SageMaker` tidak disimpan. Untuk informasi tentang patch pemeliharaan dan keamanan, lihat[Maintenance](nbi.md#nbi-maintenance).
**catatan**
Instans SageMaker AI berbasis Nitro tertentu termasuk penyimpanan lokal, tergantung pada jenis instans. Volume penyimpanan lokal dienkripsi menggunakan modul perangkat keras pada instans. Anda tidak dapat menggunakan kunci KMS pada jenis instans dengan penyimpanan lokal. Untuk daftar tipe instans yang mendukung penyimpanan instans lokal, lihat [Volume Penyimpanan Instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes). Untuk informasi selengkapnya tentang volume penyimpanan pada instans berbasis Nitro, lihat [Amazon EBS dan Instans NVMe Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html).
Untuk informasi lebih lanjut tentang enkripsi penyimpanan instans lokal, lihat [Volume Penyimpanan Instans SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
# SageMaker kemampuan geospasial
Anda dapat melindungi data Anda saat istirahat menggunakan enkripsi untuk SageMaker geospasial.
**Enkripsi Sisi Server dengan kunci milik SageMaker geospasial Amazon (Default)**
Kemampuan SageMaker geospasial Amazon mengenkripsi semua data Anda, termasuk hasil komputasi dari Anda `EarthObservationJobs` dan `VectorEnrichmentJobs` bersama dengan semua metadata layanan Anda. Tidak ada data yang disimpan dalam Amazon SageMaker AI yang tidak terenkripsi. Ini menggunakan default Kunci milik AWS untuk mengenkripsi semua data Anda.
**Enkripsi Sisi Server dengan Kunci KMS Disimpan di (SSE-KMS) AWS Key Management Service**
Kemampuan SageMaker geospasial Amazon mendukung enkripsi menggunakan kunci KMS milik pelanggan. Untuk informasi selengkapnya, lihat [Menggunakan AWS KMS Izin untuk kemampuan SageMaker geospasial Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/geospatial-kms.html).
# Melindungi Data dalam Transit dengan Enkripsi
Semua data internetwork dalam perjalanan mendukung enkripsi TLS 1.2. Kami menyarankan Anda menggunakan TLS 1.3.
Dengan Amazon SageMaker AI, artefak model machine learning (ML) dan artefak sistem lainnya dienkripsi saat transit dan saat istirahat. Permintaan ke SageMaker AI API dan konsol dibuat melalui koneksi aman (SSL). Anda meneruskan AWS Identity and Access Management peran ke SageMaker AI untuk memberikan izin mengakses sumber daya atas nama Anda untuk pelatihan dan penerapan.
Beberapa data intranetwork dalam perjalanan (di dalam platform layanan) tidak dienkripsi. Hal ini mencakup:
+ Komunikasi perintah dan kontrol antara pesawat kontrol layanan dan instance pekerjaan pelatihan (bukan data pelanggan).
+ Komunikasi antar node dalam pekerjaan pemrosesan terdistribusi (intranetwork).
+ Komunikasi antar node dalam pekerjaan pelatihan terdistribusi (intranetwork).
Tidak ada komunikasi antar simpul untuk pemrosesan batch.
Anda dapat memilih untuk mengenkripsi komunikasi antar node dalam klaster pekerjaan pelatihan dan klaster pekerjaan pemrosesan.
**catatan**
Untuk kasus penggunaan di sektor perawatan kesehatan, praktik terbaik untuk keamanan adalah mengenkripsi komunikasi antar node.
Untuk informasi tentang cara mengenkripsi komunikasi, lihat topik berikutnya di[Melindungi Komunikasi Antara Instans Komputasi ML dalam Job Pelatihan Terdistribusi](train-encrypt.md).
**catatan**
Mengenkripsi lalu lintas antar kontainer dapat meningkatkan waktu pelatihan, terutama jika Anda menggunakan algoritme pembelajaran mendalam terdistribusi. Untuk algoritma yang terpengaruh, tingkat keamanan tambahan ini juga meningkatkan biaya. Waktu pelatihan untuk sebagian besar algoritme bawaan SageMaker AI, seperti XGBoost, DeepAR, dan pelajar linier, biasanya tidak terpengaruh.
Titik akhir yang divalidasi FIPS tersedia untuk SageMaker AI API dan meminta router untuk model yang dihosting (runtime). Untuk informasi tentang titik akhir yang sesuai dengan FIPS, lihat [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
## Lindungi Komunikasi dengan RStudio Amazon SageMaker AI
RStudio di Amazon SageMaker AI menyediakan enkripsi untuk semua komunikasi yang melibatkan komponen SageMaker AI. Namun, versi sebelumnya tidak mendukung enkripsi antara RSession aplikasi RStudio ServerPro dan aplikasi.
RStudio versi yang dirilis 2022.02.2-485.pro2 pada April 2022. Versi ini mendukung enkripsi antara RStudio ServerPro dan RSession aplikasi untuk mengaktifkan end-to-end enkripsi. Upgrade versi, bagaimanapun, tidak sepenuhnya kompatibel ke belakang. Akibatnya, Anda harus memperbarui semua RSession aplikasi RStudio ServerPro dan aplikasi Anda. Untuk informasi tentang cara memperbarui aplikasi, lihat[RStudio Pembuatan Versi](rstudio-version.md).
# Melindungi Komunikasi Antara Instans Komputasi ML dalam Job Pelatihan Terdistribusi
Secara default, Amazon SageMaker AI menjalankan tugas pelatihan di Amazon Virtual Private Cloud (Amazon VPC) untuk membantu menjaga keamanan data Anda. Anda dapat menambahkan tingkat keamanan lain untuk melindungi wadah pelatihan dan data Anda dengan mengonfigurasi *VPC pribadi*. Kerangka kerja dan algoritme ML terdistribusi biasanya mengirimkan informasi yang terkait langsung dengan model, seperti bobot, bukan kumpulan data pelatihan. Saat melakukan pelatihan terdistribusi, Anda dapat lebih melindungi data yang ditransmisikan antar instance. Ini dapat membantu Anda mematuhi persyaratan peraturan. Untuk melakukan ini, gunakan enkripsi lalu lintas antar kontainer.
**catatan**
Untuk kasus penggunaan di sektor perawatan kesehatan, praktik terbaik untuk keamanan adalah mengenkripsi komunikasi antar node.
Mengaktifkan enkripsi lalu lintas antar kontainer dapat meningkatkan waktu pelatihan, terutama jika Anda menggunakan algoritme pembelajaran mendalam terdistribusi. Mengaktifkan enkripsi lalu lintas antar kontainer tidak memengaruhi pekerjaan pelatihan dengan satu instance komputasi. Namun, untuk pekerjaan pelatihan dengan beberapa contoh komputasi, efeknya pada waktu pelatihan tergantung pada jumlah komunikasi antara instance komputasi. Untuk algoritma yang terpengaruh, menambahkan tingkat keamanan tambahan ini juga meningkatkan biaya. Waktu pelatihan untuk sebagian besar algoritme bawaan SageMaker AI, seperti XGBoost, DeepAR, dan pelajar linier, biasanya tidak terpengaruh.
Anda dapat mengaktifkan enkripsi lalu lintas antar kontainer untuk pekerjaan pelatihan atau pekerjaan tuning hyperparameter. Anda dapat menggunakan SageMaker APIs atau konsol untuk mengaktifkan enkripsi lalu lintas antar kontainer.
Untuk informasi tentang menjalankan pekerjaan pelatihan di VPC pribadi, lihat. [Berikan Akses Pekerjaan Pelatihan SageMaker AI ke Sumber Daya di VPC Amazon Anda](train-vpc.md)
## Aktifkan Enkripsi Lalu Lintas Antar Kontainer (API)
Sebelum mengaktifkan enkripsi lalu lintas antar-kontainer pada pelatihan atau pekerjaan penyetelan hiperparameter dengan APIs, tambahkan aturan masuk dan keluar ke grup keamanan VPC pribadi Anda.
**Untuk mengaktifkan enkripsi lalu lintas antar kontainer (API)**
1. Tambahkan aturan masuk dan keluar berikut di grup keamanan untuk VPC pribadi Anda:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/train-encrypt.html)
1. Saat Anda mengirim permintaan ke [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html)API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)atau, tentukan `True` `EnableInterContainerTrafficEncryption` parameternya.
**catatan**
Untuk `ESP 50` protokol, AWS Security Group Console mungkin menampilkan rentang port sebagai “Semua”. Namun, Amazon EC2 mengabaikan rentang port yang ditentukan karena tidak berlaku untuk protokol IP ESP 50.
## Aktifkan Enkripsi Lalu Lintas Antar Kontainer (Konsol)
### Aktifkan Enkripsi Lalu Lintas Antar Kontainer dalam Training Job
**Untuk mengaktifkan enkripsi lalu lintas antar kontainer dalam pekerjaan pelatihan**
1. Buka konsol Amazon SageMaker AI di [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Di panel navigasi, pilih **Pelatihan**, lalu pilih **Pekerjaan pelatihan**.
1. Pilih **Buat pekerjaan pelatihan**.
1. Di bawah **Jaringan**, pilih **VPC**. Anda dapat menggunakan VPC default atau yang telah Anda buat.
1. Pilih **Aktifkan enkripsi lalu lintas antar kontainer**.
Setelah Anda mengaktifkan enkripsi lalu lintas antar kontainer, selesaikan pembuatan pekerjaan pelatihan. Untuk informasi selengkapnya, lihat [Latih Model](ex1-train-model.md).
### Aktifkan Enkripsi Lalu Lintas Antar Kontainer dalam Pekerjaan Tuning Hyperparameter
**Untuk mengaktifkan enkripsi lalu lintas antar kontainer dalam pekerjaan penyetelan hyperparameter**
1. Buka konsol Amazon SageMaker AI di [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Di panel navigasi, pilih **Pelatihan**, lalu pilih Pekerjaan **tuning Hyperparameter**.
1. Pilih **Buat pekerjaan tuning hyperparameter**.
1. Di bawah **Jaringan**, pilih **VPC**. Anda dapat menggunakan VPC default atau yang Anda buat.
1. Pilih **Aktifkan enkripsi lalu lintas antar kontainer**.
Setelah mengaktifkan enkripsi lalu lintas antar-kontainer, selesaikan pembuatan pekerjaan penyetelan hyperparameter. Untuk informasi selengkapnya, lihat [Konfigurasikan dan Luncurkan Pekerjaan Tuning Hyperparameter](automatic-model-tuning-ex-tuning-job.md).
# Manajemen kunci
Pelanggan dapat menentukan AWS KMS kunci, termasuk membawa kunci Anda sendiri (BYOK), untuk digunakan untuk enkripsi amplop dengan input/output bucket Amazon S3 dan volume Amazon EBS pembelajaran mesin (ML). Volume ML untuk instance notebook dan untuk pemrosesan, pelatihan, dan kontainer model Docker yang dihosting dapat dienkripsi secara opsional dengan menggunakan kunci milik pelanggan. AWS KMS Semua volume OS instance dienkripsi dengan kunci AWS AWS KMS -managed.
**catatan**
Instans berbasis Nitro tertentu menyertakan penyimpanan lokal, tergantung dari tipe instans. Volume penyimpanan lokal dienkripsi menggunakan modul perangkat keras pada instans. Anda tidak dapat meminta `VolumeKmsKeyId` saat menggunakan tipe instans dengan penyimpanan lokal.
Untuk daftar tipe instans yang mendukung penyimpanan instans lokal, lihat [Volume Penyimpanan Instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes).
Untuk informasi lebih lanjut tentang enkripsi penyimpanan instans lokal, lihat [Volume Penyimpanan Instans SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
Untuk informasi selengkapnya tentang volume penyimpanan pada instans berbasis nitro, lihat [Amazon EBS dan Instans NVMe Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html).
Untuk informasi tentang AWS KMS kunci, lihat [Apa itu Layanan Manajemen AWS Kunci?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) di *Panduan AWS Key Management Service Pengembang*.
# Privasi Lalu Lintas Kerja Internet
Topik ini menjelaskan bagaimana Amazon SageMaker AI mengamankan koneksi dari layanan ke lokasi lain.
Komunikasi internetwork mendukung enkripsi TLS 1.2 antara semua komponen dan klien. Kami merekomendasikan TLS 1.3.
Instans dapat dihubungkan ke VPC Pelanggan, menyediakan akses ke titik akhir VPC S3 atau repositori pelanggan. Jalan keluar internet dapat dikelola melalui antarmuka ini oleh pelanggan jika platform layanan jalan keluar internet dinonaktifkan untuk notebook. Untuk pelatihan dan hosting, jalan keluar melalui platform layanan tidak tersedia saat terhubung ke VPC pelanggan.
Secara default, panggilan API yang dilakukan ke titik akhir yang dipublikasikan melintasi jaringan publik ke router permintaan. SageMaker AI mendukung titik akhir antarmuka Amazon Virtual Private Cloud yang didukung oleh AWS PrivateLink konektivitas pribadi antara VPC pelanggan dan router permintaan untuk mengakses titik akhir model yang dihosting. Untuk informasi tentang Amazon VPC, lihat [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md)
# AWS Identity and Access Management untuk Amazon SageMaker AI
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya AI. SageMaker IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana Amazon SageMaker AI bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
+ [Pencegahan "confused deputy" lintas layanan](security-confused-deputy-prevention.md)
+ [Cara menggunakan peran eksekusi SageMaker AI](sagemaker-roles.md)
+ [Manajer SageMaker Peran Amazon](role-manager.md)
+ [Kontrol akses untuk notebook](security-access-control.md)
+ [Izin Amazon SageMaker AI API: Tindakan, Izin, dan Referensi Sumber Daya](api-permissions-reference.md)
+ [AWS kebijakan terkelola untuk Amazon SageMaker AI](security-iam-awsmanpol.md)
+ [Memecahkan Masalah Identitas dan SageMaker Akses Amazon AI](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan Masalah Identitas dan SageMaker Akses Amazon AI](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Amazon SageMaker AI bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas Amazon SageMaker AI](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensyal dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensyal. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensyal sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensyal dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan Grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana Amazon SageMaker AI bekerja dengan IAM
**penting**
Kebijakan IAM khusus yang memungkinkan Amazon SageMaker Studio atau Amazon SageMaker Studio Classic membuat SageMaker sumber daya Amazon juga harus memberikan izin untuk menambahkan tag ke sumber daya tersebut. Izin untuk menambahkan tag ke sumber daya diperlukan karena Studio dan Studio Classic secara otomatis menandai sumber daya apa pun yang mereka buat. Jika kebijakan IAM memungkinkan Studio dan Studio Classic membuat sumber daya tetapi tidak mengizinkan penandaan, kesalahan "AccessDenied" dapat terjadi saat mencoba membuat sumber daya. Untuk informasi selengkapnya, lihat [Berikan izin untuk menandai sumber daya AI SageMaker](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS kebijakan terkelola untuk Amazon SageMaker AI](security-iam-awsmanpol.md)yang memberikan izin untuk membuat SageMaker sumber daya sudah menyertakan izin untuk menambahkan tag saat membuat sumber daya tersebut.
Sebelum Anda menggunakan IAM untuk mengelola akses ke SageMaker AI, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan SageMaker AI. Untuk mendapatkan pandangan tingkat tinggi tentang bagaimana SageMaker AI dan AWS layanan lainnya bekerja dengan IAM, lihat [AWS Layanan yang Bekerja dengan IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_aws-services-that-work-with-iam.html) di Referensi Otorisasi *Layanan*.
**Topics**
+ [Kebijakan berbasis identitas untuk Amazon AI SageMaker](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan berbasis sumber daya dalam Amazon AI SageMaker](#security_iam_service-with-iam-resource-based-policies)
+ [Tindakan kebijakan untuk Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-actions)
+ [Sumber daya kebijakan untuk Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-resources)
+ [Kunci kondisi kebijakan untuk Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Otorisasi berdasarkan tag SageMaker AI](#security_iam_service-with-iam-tags)
+ [SageMaker Peran AI IAM](#security_iam_service-with-iam-roles)
## Kebijakan berbasis identitas untuk Amazon AI SageMaker
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. SageMaker AI mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi [Elemen Kebijakan IAM JSON di Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) Otorisasi *Layanan*.
## Kebijakan berbasis sumber daya dalam Amazon AI SageMaker
**Mendukung kebijakan berbasis sumber daya:** Tidak
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau layanan. AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Menambahkan prinsipal akun silang ke kebijakan berbasis sumber daya hanya setengah dari membangun hubungan kepercayaan. Ketika prinsipal dan sumber daya berada pada akun AWS yang berbeda, administrator IAM dalam akun tepercaya juga harus memberikan izin entitas prinsipal (pengguna atau peran) untuk mengakses sumber daya tersebut. Mereka memberikan izin dengan melampirkan kebijakan berbasis identitas ke entitas tersebut. Namun, jika kebijakan berbasis sumber daya memberikan akses ke principal dalam akun yang sama, tidak diperlukan kebijakan berbasis identitas tambahan. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
**catatan**
Gunakan [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)untuk berbagi sumber daya SageMaker AI yang didukung dengan aman. Untuk menemukan daftar sumber daya yang dapat dibagikan, lihat sumber daya [ SageMaker AI Amazon yang dapat dibagikan](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
## Tindakan kebijakan untuk Amazon SageMaker AI
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di SageMaker AI menggunakan awalan berikut sebelum tindakan:`sagemaker:`. Misalnya, untuk memberikan izin kepada seseorang untuk menjalankan pekerjaan pelatihan SageMaker AI dengan operasi SageMaker AI `CreateTrainingJob` API, Anda menyertakan `sagemaker:CreateTrainingJob` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu `Action` atau `NotAction` elemen. SageMaker AI mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"sagemaker:action1",
"sagemaker:action2"
]
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "sagemaker:Describe*"
```
Untuk melihat daftar tindakan SageMaker AI, lihat [Tindakan, sumber daya, dan kunci kondisi untuk Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) di *Referensi Otorisasi Layanan*.
## Sumber daya kebijakan untuk Amazon SageMaker AI
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen `Resource` atau `NotResource`. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai *izin tingkat sumber daya*.
Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya Amazon SageMaker AI dan jenisnya ARNs, lihat referensi berikut untuk tindakan, jenis sumber daya, dan kunci kondisi yang ditentukan oleh Amazon SageMaker AI di *Referensi Otorisasi Layanan*.
+ [Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)
+ [Kemampuan SageMaker geospasial Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)
+ [Amazon SageMaker Ground Truth Sintetis](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergroundtruthsynthetic.html)
+ [Amazon SageMaker AI dengan MLflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakerwithmlflow.html)
Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
## Kunci kondisi kebijakan untuk Amazon SageMaker AI
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
SageMaker AI mendefinisikan set kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_condition-keys.html) di *Referensi Otorisasi Layanan*.
SageMaker AI mendukung sejumlah kunci kondisi khusus layanan yang dapat Anda gunakan untuk kontrol akses berbutir halus untuk operasi berikut:
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html)
Untuk melihat daftar kunci kondisi SageMaker AI, lihat [Kunci kondisi untuk Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) di *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
Untuk contoh penggunaan kunci kondisi SageMaker AI, lihat berikut ini: [Kontrol pembuatan sumber daya SageMaker AI dengan tombol kondisi](security_iam_id-based-policy-examples.md#sagemaker-condition-examples)
### Contoh
Untuk melihat contoh kebijakan berbasis identitas SageMaker AI, lihat. [Contoh kebijakan berbasis identitas Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
## Otorisasi berdasarkan tag SageMaker AI
Anda dapat melampirkan tag ke sumber daya SageMaker AI atau meneruskan tag dalam permintaan ke SageMaker AI. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `sagemaker:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang menandai sumber daya SageMaker AI, lihat[Kontrol akses ke sumber daya SageMaker AI dengan menggunakan tag](security_iam_id-based-policy-examples.md#access-tag-policy).
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Kontrol akses ke sumber daya SageMaker AI dengan menggunakan tag](security_iam_id-based-policy-examples.md#access-tag-policy).
## SageMaker Peran AI IAM
[Peran IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
### Menggunakan kredensi sementara dengan AI SageMaker
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
SageMaker AI mendukung penggunaan kredensyal sementara.
### Peran terkait layanan
SageMaker AI sebagian mendukung peran [terkait layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Peran terkait layanan saat ini tersedia untuk SageMaker Studio Classic.
### Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
SageMaker AI mendukung peran layanan.
### Memilih peran IAM dalam AI SageMaker
Saat Anda membuat instance notebook, pekerjaan pemrosesan, pekerjaan pelatihan, titik akhir yang dihosting, atau sumber daya pekerjaan transformasi batch di SageMaker AI, Anda harus memilih peran untuk memungkinkan SageMaker AI mengakses SageMaker AI atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, SageMaker AI memberi Anda daftar peran untuk dipilih. Penting untuk memilih peran yang memungkinkan akses ke AWS operasi dan sumber daya yang Anda butuhkan. Untuk informasi selengkapnya, lihat [Cara menggunakan peran eksekusi SageMaker AI](sagemaker-roles.md).
# Contoh kebijakan berbasis identitas Amazon SageMaker AI
Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya SageMaker AI. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut. Untuk mempelajari cara melampirkan kebijakan ke pengguna atau grup IAM, lihat [Menambahkan dan Menghapus Izin Identitas IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_manage-attach-detach.html) di Referensi Otorisasi *Layanan*.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_create.html#access_policies_create-json-editor) di Tab JSON.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol SageMaker AI](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Kontrol pembuatan sumber daya SageMaker AI dengan tombol kondisi](#sagemaker-condition-examples)
+ [Kontrol akses ke SageMaker AI API dengan menggunakan kebijakan berbasis identitas](#api-access-policy)
+ [Batasi akses ke SageMaker AI API dan panggilan runtime berdasarkan alamat IP](#api-ip-filter)
+ [Batasi akses ke instance notebook dengan alamat IP](#nbi-ip-filter)
+ [Kontrol akses ke sumber daya SageMaker AI dengan menggunakan tag](#access-tag-policy)
+ [Berikan izin untuk menandai sumber daya AI SageMaker](#grant-tagging-permissions)
+ [Batasi akses ke sumber daya yang dapat dicari dengan kondisi visibilitas](#limit-access-to-searchable-resources)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya SageMaker AI di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol SageMaker AI
Untuk mengakses konsol Amazon SageMaker AI, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya SageMaker AI di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi dengan baik untuk entitas dengan kebijakan tersebut. Ini termasuk pengguna atau peran dengan kebijakan tersebut.
Untuk memastikan bahwa entitas tersebut masih dapat menggunakan konsol SageMaker AI, Anda juga harus melampirkan kebijakan AWS terkelola berikut ke entitas. Untuk informasi selengkapnya, lihat [Menambahkan Izin ke Pengguna di Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/id_users_change-permissions.html#users_change_permissions-add-console) *Otorisasi Layanan*:
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
**Topics**
+ [Izin diperlukan untuk menggunakan konsol Amazon SageMaker AI](#console-permissions)
+ [Izin diperlukan untuk menggunakan konsol Amazon SageMaker Ground Truth](#groundtruth-console-policy)
+ [Izin diperlukan untuk menggunakan konsol Amazon Augmented AI (Pratinjau)](#amazon-augmented-ai-console-policy)
### Izin diperlukan untuk menggunakan konsol Amazon SageMaker AI
Tabel referensi izin mencantumkan operasi Amazon SageMaker AI API dan menunjukkan izin yang diperlukan untuk setiap operasi. Untuk informasi selengkapnya tentang operasi Amazon SageMaker AI API, lihat[Izin Amazon SageMaker AI API: Tindakan, Izin, dan Referensi Sumber Daya](api-permissions-reference.md).
Untuk menggunakan konsol Amazon SageMaker AI, Anda harus memberikan izin untuk tindakan tambahan. Secara khusus, konsol memerlukan izin yang memungkinkan `ec2` tindakan menampilkan subnet, VPCs, dan grup keamanan. Secara opsional, konsol memerlukan izin untuk membuat *peran eksekusi* untuk tugas-tugas seperti`CreateNotebook`,`CreateTrainingJob`, dan`CreateModel`. Berikan izin ini dengan kebijakan izin berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "VpcConfigurationForCreateForms",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid":"KmsKeysForCreateForms",
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource":"*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListRepositories",
"codecommit:ListBranches",
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid":"ListAndCreateExecutionRoles",
"Effect":"Allow",
"Action":[
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource":"*"
},
{
"Sid": "DescribeECRMetaData",
"Effect": "Allow",
"Action": [
"ecr:Describe*"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
### Izin diperlukan untuk menggunakan konsol Amazon SageMaker Ground Truth
Untuk menggunakan konsol Amazon SageMaker Ground Truth, Anda harus memberikan izin untuk sumber daya tambahan. Secara khusus, konsol membutuhkan izin untuk:
+ AWS Marketplace untuk melihat langganan,
+ Operasi Amazon Cognito untuk mengelola tenaga kerja pribadi Anda
+ Tindakan Amazon S3 untuk akses ke file input dan output Anda
+ AWS Lambda tindakan untuk membuat daftar dan memanggil fungsi
Berikan izin ini dengan kebijakan izin berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"groundtruthlabeling:DescribeConsoleJob",
"groundtruthlabeling:ListDatasetObjects",
"groundtruthlabeling:RunGenerateManifestByCrawlingJob",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
### Izin diperlukan untuk menggunakan konsol Amazon Augmented AI (Pratinjau)
Untuk menggunakan konsol Augmented AI, Anda perlu memberikan izin untuk sumber daya tambahan. Berikan izin ini dengan kebijakan izin berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*Algorithm",
"sagemaker:*Algorithms",
"sagemaker:*App",
"sagemaker:*Apps",
"sagemaker:*AutoMLJob",
"sagemaker:*AutoMLJobs",
"sagemaker:*CodeRepositories",
"sagemaker:*CodeRepository",
"sagemaker:*CompilationJob",
"sagemaker:*CompilationJobs",
"sagemaker:*Endpoint",
"sagemaker:*EndpointConfig",
"sagemaker:*EndpointConfigs",
"sagemaker:*EndpointWeightsAndCapacities",
"sagemaker:*Endpoints",
"sagemaker:*Experiment",
"sagemaker:*Experiments",
"sagemaker:*FlowDefinitions",
"sagemaker:*HumanLoop",
"sagemaker:*HumanLoops",
"sagemaker:*HumanTaskUi",
"sagemaker:*HumanTaskUis",
"sagemaker:*HyperParameterTuningJob",
"sagemaker:*HyperParameterTuningJobs",
"sagemaker:*LabelingJob",
"sagemaker:*LabelingJobs",
"sagemaker:*Metrics",
"sagemaker:*Model",
"sagemaker:*ModelPackage",
"sagemaker:*ModelPackages",
"sagemaker:*Models",
"sagemaker:*MonitoringExecutions",
"sagemaker:*MonitoringSchedule",
"sagemaker:*MonitoringSchedules",
"sagemaker:*NotebookInstance",
"sagemaker:*NotebookInstanceLifecycleConfig",
"sagemaker:*NotebookInstanceLifecycleConfigs",
"sagemaker:*NotebookInstanceUrl",
"sagemaker:*NotebookInstances",
"sagemaker:*ProcessingJob",
"sagemaker:*ProcessingJobs",
"sagemaker:*RenderUiTemplate",
"sagemaker:*Search",
"sagemaker:*SearchSuggestions",
"sagemaker:*Tags",
"sagemaker:*TrainingJob",
"sagemaker:*TrainingJobs",
"sagemaker:*TransformJob",
"sagemaker:*TransformJobs",
"sagemaker:*Trial",
"sagemaker:*TrialComponent",
"sagemaker:*TrialComponents",
"sagemaker:*Trials",
"sagemaker:*Workteam",
"sagemaker:*Workteams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sagemaker:*FlowDefinition"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListBranches",
"codecommit:ListRepositories",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob",
"glue:GetJobRun",
"glue:GetJobRuns",
"glue:GetJobs",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:PutLogEvents",
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:DescribeResourcePolicies",
"logs:GetLogDelivery",
"logs:ListLogDeliveries",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": "arn:aws:ecr:*:*:repository/*sagemaker*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
}
]
}
```
------
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Kontrol pembuatan sumber daya SageMaker AI dengan tombol kondisi
Kontrol akses berbutir halus untuk memungkinkan pembuatan sumber daya SageMaker AI dengan menggunakan kunci kondisi khusus SageMaker AI. Untuk informasi tentang penggunaan kunci kondisi dalam kebijakan IAM, lihat [IAM JSON Policy Elements: Condition in the *IAM*](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) User Guide.
Kunci kondisi, tindakan API terkait, dan tautan ke dokumentasi yang relevan tercantum dalam [Kunci Kondisi untuk SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) di *Referensi Otorisasi Layanan*.
Contoh berikut menunjukkan cara menggunakan tombol kondisi SageMaker AI untuk mengontrol akses.
**Topics**
+ [Kontrol akses ke sumber daya SageMaker AI dengan menggunakan tombol kondisi sistem file](#access-fs-condition-keys)
+ [Batasi pelatihan ke VPC tertentu](#sagemaker-condition-vpc)
+ [Batasi akses ke jenis tenaga kerja untuk pekerjaan pelabelan Ground Truth dan alur kerja Amazon A2I Human Review](#sagemaker-condition-keys-labeling)
+ [Menegakkan enkripsi data input](#sagemaker-condition-kms)
+ [Menegakkan isolasi jaringan untuk pekerjaan pelatihan](#sagemaker-condition-isolation)
+ [Menegakkan jenis instans tertentu untuk pekerjaan pelatihan](#sagemaker-condition-instance)
+ [Menegakkan penonaktifan akses internet dan akses root untuk membuat instance notebook](#sagemaker-condition-nbi-lockdown)
### Kontrol akses ke sumber daya SageMaker AI dengan menggunakan tombol kondisi sistem file
SageMaker Pelatihan AI menyediakan infrastruktur yang aman untuk menjalankan algoritme pelatihan, tetapi untuk beberapa kasus Anda mungkin ingin meningkatkan pertahanan secara mendalam. Misalnya, Anda meminimalkan risiko menjalankan kode yang tidak tepercaya dalam algoritme Anda, atau Anda memiliki mandat keamanan khusus di organisasi Anda. Untuk skenario ini, Anda dapat menggunakan kunci kondisi khusus layanan dalam elemen Kondisi kebijakan IAM untuk menjangkau pengguna ke:
+ sistem file tertentu
+ direktori
+ mode akses (baca-tulis, hanya-baca)
+ kelompok keamanan
**Topics**
+ [Batasi pengguna IAM ke direktori dan mode akses tertentu](#access-fs-condition-keys-ex-dirs)
+ [Batasi pengguna ke sistem file tertentu](#access-fs-condition-keys-ex-fs)
#### Batasi pengguna IAM ke direktori dan mode akses tertentu
Kebijakan berikut membatasi pengguna ke `/sagemaker/xgboost-dm/train` dan `/sagemaker/xgboost-dm/validation` direktori sistem file EFS untuk `ro` (hanya-baca): AccessMode
**catatan**
Ketika sebuah direktori diizinkan, semua subdirektorinya juga dapat diakses oleh algoritma pelatihan. Izin POSIX diabaikan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToElasticFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/train"
}
}
},
{
"Sid": "AccessToElasticFileSystemValidation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/validation"
}
}
}
]
}
```
------
#### Batasi pengguna ke sistem file tertentu
Untuk mencegah algoritma berbahaya menggunakan klien ruang pengguna mengakses sistem file apa pun secara langsung di akun Anda, Anda dapat membatasi lalu lintas jaringan. Untuk membatasi lalu lintas ini, izinkan masuknya hanya dari grup keamanan tertentu. Dalam contoh berikut, pengguna hanya dapat menggunakan grup keamanan yang ditentukan untuk mengakses sistem file:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToLustreFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "FSxLustre",
"sagemaker:FileSystemDirectoryPath": "/fsx/sagemaker/xgboost/train"
},
"ForAllValues:StringEquals": {
"sagemaker:VpcSecurityGroupIds": [
"sg-12345678"
]
}
}
}
]
}
```
------
Contoh ini dapat membatasi algoritma ke sistem file tertentu. Namun, itu tidak mencegah algoritma mengakses direktori apa pun dalam sistem file itu menggunakan klien ruang pengguna. Untuk mengurangi ini, Anda dapat:
+ Pastikan bahwa sistem file hanya berisi data yang Anda percayai untuk diakses oleh pengguna
+ Buat peran IAM yang membatasi pengguna Anda untuk meluncurkan pekerjaan pelatihan dengan algoritme dari repositori ECR yang disetujui
Untuk informasi selengkapnya tentang cara menggunakan peran dengan SageMaker AI, lihat [Peran SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html).
### Batasi pelatihan ke VPC tertentu
Batasi AWS pengguna untuk membuat pekerjaan pelatihan dari dalam VPC Amazon. Ketika pekerjaan pelatihan dibuat dalam VPC, gunakan log aliran VPC untuk memantau semua lalu lintas ke dan dari cluster pelatihan. Untuk informasi tentang penggunaan log aliran VPC, lihat Log Aliran [VPC di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) Pengguna *Amazon Virtual Private Cloud*.
Kebijakan berikut memberlakukan bahwa pekerjaan pelatihan dibuat oleh pengguna yang menelepon [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)dari dalam VPC:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFromVpc",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"sagemaker:VpcSubnets": ["subnet-a1234"],
"sagemaker:VpcSecurityGroupIds": ["sg12345", "sg-67890"]
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
}
]
}
```
------
### Batasi akses ke jenis tenaga kerja untuk pekerjaan pelabelan Ground Truth dan alur kerja Amazon A2I Human Review
Amazon SageMaker Ground Truth dan tim kerja Amazon Augmented AI termasuk dalam salah satu dari [tiga jenis tenaga kerja](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management.html):
+ publik (dengan Amazon Mechanical Turk)
+ private
+ vendor
Anda dapat membatasi akses pengguna ke tim kerja tertentu menggunakan salah satu jenis ini atau tim kerja ARN. Untuk melakukannya, gunakan `sagemaker:WorkteamType` and/or tombol `sagemaker:WorkteamArn` kondisi. Untuk kunci `sagemaker:WorkteamType` kondisi, gunakan [operator kondisi string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Untuk kunci `sagemaker:WorkteamArn` kondisi, gunakan operator [kondisi Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN). Jika pengguna mencoba membuat pekerjaan pelabelan dengan tim kerja terbatas, SageMaker AI mengembalikan kesalahan akses ditolak.
Kebijakan berikut menunjukkan berbagai cara untuk menggunakan kunci `sagemaker:WorkteamType` dan `sagemaker:WorkteamArn` kondisi dengan operator kondisi yang sesuai dan nilai kondisi yang valid.
Contoh berikut menggunakan kunci `sagemaker:WorkteamType` kondisi dengan operator `StringEquals` kondisi untuk membatasi akses ke tim kerja umum. Ini menerima nilai kondisi dalam format berikut:`workforcetype-crowd`, di mana *workforcetype* bisa sama`public`,`private`, atau`vendor`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:WorkteamType": "public-crowd"
}
}
}
]
}
```
------
Kebijakan berikut menunjukkan cara membatasi akses ke tim kerja publik menggunakan kunci `sagemaker:WorkteamArn` kondisi. Yang pertama menunjukkan cara menggunakannya dengan varian regex IAM yang valid dari tim kerja ARN dan operator kondisi. `ArnLike` Yang kedua menunjukkan bagaimana menggunakannya dengan operator `ArnEquals` kondisi dan tim kerja ARN.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnLike": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
}
}
}
]
}
```
------
### Menegakkan enkripsi data input
Kebijakan berikut membatasi pengguna untuk menentukan AWS KMS kunci untuk mengenkripsi data input menggunakan kunci `sagemaker:VolumeKmsKey` kondisi saat membuat:
+ pelatihan
+ penyetelan hiperparameter
+ pekerjaan pelabelan
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceEncryption",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateFlowDefinition"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:VolumeKmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
]
}
```
------
### Menegakkan isolasi jaringan untuk pekerjaan pelatihan
Kebijakan berikut membatasi pengguna untuk mengaktifkan isolasi jaringan saat membuat pekerjaan pelatihan dengan menggunakan kunci `sagemaker:NetworkIsolation` kondisi:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceIsolation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"Bool": {
"sagemaker:NetworkIsolation": "true"
}
}
}
]
}
```
------
### Menegakkan jenis instans tertentu untuk pekerjaan pelatihan
Kebijakan berikut membatasi pengguna untuk menggunakan jenis instans tertentu saat membuat pekerjaan pelatihan menggunakan kunci `sagemaker:InstanceTypes` kondisi:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceInstanceType",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"sagemaker:InstanceTypes": ["ml.c5.*"]
}
}
}
]
}
```
------
### Menegakkan penonaktifan akses internet dan akses root untuk membuat instance notebook
Anda dapat menonaktifkan akses internet dan akses root ke instance notebook untuk membantu membuatnya lebih aman. Untuk informasi tentang mengontrol akses root ke instance notebook, lihat[Kontrol akses root ke instance SageMaker notebook](nbi-root-access.md). Untuk informasi tentang menonaktifkan akses internet untuk instance notebook, lihat. [Hubungkan Instance Notebook di VPC ke Sumber Daya Eksternal](appendix-notebook-and-internet-access.md)
Kebijakan berikut mengharuskan pengguna untuk menonaktifkan akses jaringan saat membuat instance, dan menonaktifkan akses root saat membuat atau memperbarui instance notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LockDownCreateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:CreateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:DirectInternetAccess": "Disabled",
"sagemaker:RootAccess": "Disabled"
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
},
{
"Sid": "LockDownUpdateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:UpdateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:RootAccess": "Disabled"
}
}
}
]
}
```
------
## Kontrol akses ke SageMaker AI API dengan menggunakan kebijakan berbasis identitas
Untuk mengontrol akses ke panggilan SageMaker AI API dan panggilan ke titik akhir yang dihosting SageMaker AI, gunakan kebijakan IAM berbasis identitas.
**Topics**
+ [Batasi akses ke SageMaker AI API dan runtime untuk panggilan dari dalam VPC Anda](#api-access-policy-vpc)
### Batasi akses ke SageMaker AI API dan runtime untuk panggilan dari dalam VPC Anda
Jika Anda menyiapkan titik akhir antarmuka di VPC Anda, individu di luar VPC dapat terhubung ke AI API dan SageMaker runtime melalui internet. Untuk mencegah hal ini, lampirkan kebijakan IAM yang membatasi akses ke panggilan yang berasal dari dalam VPC. Panggilan ini harus dibatasi untuk semua pengguna dan grup yang memiliki akses ke sumber daya SageMaker AI Anda. Untuk informasi tentang membuat titik akhir antarmuka VPC untuk SageMaker AI API dan runtime, lihat. [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md)
**penting**
Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu dari berikut ini, pengguna tidak dapat mengakses SageMaker AI yang ditentukan APIs melalui konsol.
Untuk membatasi akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management yang membatasi akses. Akses ini harus dibatasi hanya untuk panggilan yang berasal dari dalam VPC Anda. Kemudian tambahkan kebijakan itu ke setiap AWS Identity and Access Management pengguna, grup, atau peran yang digunakan untuk mengakses SageMaker AI API atau runtime.
**catatan**
Kebijakan ini hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Untuk membatasi akses ke API hanya panggilan yang dilakukan menggunakan titik akhir antarmuka, gunakan kunci `aws:SourceVpce` kondisi sebagai ganti: `aws:SourceVpc`
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
## Batasi akses ke SageMaker AI API dan panggilan runtime berdasarkan alamat IP
Anda dapat mengizinkan akses ke panggilan SageMaker AI API dan pemanggilan runtime hanya dari alamat IP dalam daftar yang Anda tentukan. Untuk melakukannya, buat kebijakan IAM yang menolak akses ke API kecuali panggilan berasal dari alamat IP dalam daftar. Kemudian lampirkan kebijakan tersebut ke setiap AWS Identity and Access Management pengguna, grup, atau peran yang digunakan untuk mengakses API atau runtime. Untuk informasi tentang membuat kebijakan IAM, lihat [Membuat Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) di *AWS Identity and Access Management Panduan Pengguna*.
Untuk menentukan daftar alamat IP yang memiliki akses ke panggilan API, gunakan:
+ `IpAddress`operator kondisi
+ `aws:SourceIP`kunci konteks kondisi
*Untuk informasi tentang operator kondisi IAM, lihat [Elemen Kebijakan IAM JSON: Operator Kondisi di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) Pengguna.AWS Identity and Access Management * Untuk informasi tentang kunci konteks kondisi IAM, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Misalnya, kebijakan berikut memungkinkan akses ke [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)satu-satunya dari alamat IP dalam rentang `192.0.2.0` - `192.0.2.255` dan `203.0.113.0` -`203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreateTrainingJob",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
## Batasi akses ke instance notebook dengan alamat IP
Anda dapat mengizinkan akses ke instance notebook hanya dari alamat IP dalam daftar yang Anda tentukan. Untuk melakukannya, buat kebijakan IAM yang menolak akses [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html)kecuali panggilan berasal dari alamat IP dalam daftar. Kemudian, lampirkan kebijakan ini ke setiap AWS Identity and Access Management pengguna, grup, atau peran yang digunakan untuk mengakses instance notebook. Untuk informasi tentang membuat kebijakan IAM, lihat [Membuat Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) di *AWS Identity and Access Management Panduan Pengguna*.
Untuk menentukan daftar alamat IP yang ingin Anda akses ke instance notebook, gunakan:
+ `IpAddress`operator kondisi
+ `aws:SourceIP`kunci konteks kondisi
*Untuk informasi tentang operator kondisi IAM, lihat [Elemen Kebijakan IAM JSON: Operator Kondisi di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) Pengguna.AWS Identity and Access Management * Untuk informasi tentang kunci konteks kondisi IAM, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Misalnya, kebijakan berikut mengizinkan akses ke instance notebook hanya dari alamat IP dalam rentang `192.0.2.0` - `192.0.2.255` dan `203.0.113.0` -`203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
Kebijakan membatasi akses ke panggilan ke `CreatePresignedNotebookInstanceUrl` dan ke URL yang ditampilkan panggilan. Kebijakan ini juga membatasi akses untuk membuka instance notebook di konsol. Hal ini diberlakukan untuk setiap permintaan HTTP dan WebSocket frame yang mencoba untuk terhubung ke instance notebook.
**catatan**
Menggunakan metode ini untuk memfilter berdasarkan alamat IP tidak kompatibel saat [menghubungkan ke SageMaker AI melalui titik akhir antarmuka VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html). . Untuk informasi tentang membatasi akses ke instance notebook saat menghubungkan melalui titik akhir antarmuka VPC, lihat. [Connect ke Instance Notebook Melalui Endpoint Antarmuka VPC](notebook-interface-endpoint.md)
## Kontrol akses ke sumber daya SageMaker AI dengan menggunakan tag
Tentukan tag dalam kebijakan IAM untuk mengontrol akses ke grup sumber daya SageMaker AI. Gunakan tag untuk mengimplementasikan kontrol akses berbasis atribut (ABAC). Menggunakan tag membantu Anda mempartisi akses ke sumber daya ke grup pengguna tertentu. Anda dapat memiliki satu tim dengan akses ke satu kelompok sumber daya dan tim yang berbeda dengan akses ke kumpulan sumber daya lain. Anda dapat memberikan `ResourceTag` ketentuan dalam kebijakan IAM untuk menyediakan akses bagi setiap grup.
**catatan**
Kebijakan berbasis tag tidak berfungsi untuk membatasi panggilan API berikut:
DeleteImageVersion
DescribeImageVersion
ListAlgorithms
ListCodeRepositories
ListCompilationJobs
ListEndpointConfigs
ListEndpoints
ListFlowDefinitions
ListHumanTaskUis
ListHyperparameterTuningJobs
ListLabelingJobs
ListLabelingJobsForWorkteam
ListModelPackages
ListModels
ListNotebookInstanceLifecycleConfigs
ListNotebookInstances
ListSubscribedWorkteams
ListTags
ListProcessingJobs
ListTrainingJobs
ListTrainingJobsForHyperParameterTuningJob
ListTransformJobs
ListWorkteams
Pencarian
Contoh sederhana dapat membantu Anda memahami bagaimana Anda dapat menggunakan tag untuk mempartisi sumber daya. Misalkan Anda telah mendefinisikan dua grup IAM yang berbeda, bernama `DevTeam1` dan`DevTeam2`, di AWS akun Anda. Anda telah membuat 10 instance notebook juga. Anda menggunakan 5 instance notebook untuk satu proyek. Anda menggunakan 5 lainnya untuk proyek kedua. Anda dapat `DevTeam1` memberikan izin untuk melakukan panggilan API pada instance notebook yang Anda gunakan untuk proyek pertama. Anda dapat menyediakan `DevTeam2` untuk melakukan panggilan API pada instance notebook yang digunakan untuk proyek kedua.
Prosedur berikut memberikan contoh sederhana yang membantu Anda memahami konsep menambahkan tag. Anda dapat menggunakannya untuk mengimplementasikan solusi yang dijelaskan dalam paragraf sebelumnya.
**Untuk mengontrol akses ke panggilan API (contoh)**
1. Tambahkan tag dengan kunci `Project` dan nilai `A` ke instance notebook yang digunakan untuk proyek pertama. Untuk informasi tentang menambahkan tag ke sumber daya SageMaker AI, lihat [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html).
1. Tambahkan tag dengan kunci `Project` dan nilai `B` ke instance notebook yang digunakan untuk proyek kedua.
1. Buat kebijakan IAM dengan `ResourceTag` kondisi yang menolak akses ke instance notebook yang digunakan untuk proyek kedua. Kemudian, lampirkan kebijakan itu ke`DevTeam1`. Contoh kebijakan berikut menyangkal semua panggilan API pada instance notebook mana pun dengan tag dengan kunci `Project` dan nilai`B`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "B"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
*Untuk informasi tentang membuat kebijakan IAM dan melampirkannya ke identitas, lihat [Mengontrol Akses Menggunakan Kebijakan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) Pengguna.AWS Identity and Access Management *
1. Buat kebijakan IAM dengan `ResourceTag` kondisi yang menolak akses ke instance notebook yang digunakan untuk proyek pertama. Kemudian, lampirkan kebijakan itu ke`DevTeam2`. Contoh kebijakan berikut menyangkal semua panggilan API pada instance notebook mana pun dengan tag dengan kunci `Project` dan nilai`A`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "A"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
## Berikan izin untuk menandai sumber daya AI SageMaker
[Tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) adalah label metadata yang dapat Anda lampirkan ke sumber daya tertentu AWS . [Tag terdiri dari pasangan kunci-nilai yang menyediakan cara fleksibel untuk membubuhi keterangan sumber daya dengan atribut metadata untuk berbagai kasus penggunaan penandaan termasuk:](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html)
+ pencarian
+ keamanan
+ [atribusi biaya](https://docs.aws.amazon.com/whitepapers/latest/sagemaker-studio-admin-best-practices/cost-attribution.html)
+ kontrol akses
+ otomatisasi
Mereka dapat digunakan dalam izin dan kebijakan, kuota layanan, dan integrasi dengan layanan lain. AWS Tag dapat ditentukan pengguna atau AWS dihasilkan saat membuat sumber daya. Hal ini tergantung pada apakah pengguna secara manual menentukan tag kustom atau AWS layanan secara otomatis menghasilkan tag.
+ *Tag yang ditentukan pengguna* di SageMaker AI: Pengguna dapat menambahkan tag saat mereka membuat sumber daya SageMaker AI menggunakan SageMaker SDKs, AWS CLI CLI,, Konsol SageMaker AI SageMaker APIs, atau templat. CloudFormation
**catatan**
Tag yang ditentukan pengguna dapat diganti jika sumber daya diperbarui kemudian dan nilai tag diubah atau diganti. Misalnya, pekerjaan pelatihan yang dibuat dengan \$1Team: A\$1 dapat diperbarui secara tidak benar dan diberi tag ulang sebagai \$1Team: B\$1. Akibatnya, izin yang diizinkan mungkin ditetapkan secara tidak benar. Oleh karena itu, kehati-hatian harus diberikan saat mengizinkan pengguna atau grup untuk menambahkan tag, karena mereka mungkin dapat mengganti nilai tag yang ada. Praktik terbaik untuk secara ketat mencakup izin tag dan menggunakan kondisi IAM untuk mengontrol kemampuan penandaan.
+ *AWS tag yang dihasilkan* di SageMaker AI: SageMaker AI secara otomatis menandai sumber daya tertentu yang dibuatnya. Misalnya, Studio dan Studio Classic secara otomatis menetapkan `sagemaker:domain-arn` tag ke sumber daya SageMaker AI yang mereka buat. Menandai sumber daya baru dengan domain ARN memberikan keterlacakan SageMaker tentang bagaimana sumber daya AI seperti pekerjaan pelatihan, model, dan titik akhir berasal. Untuk kontrol dan pelacakan yang lebih baik, sumber daya baru menerima tag tambahan seperti:
+ `sagemaker:user-profile-arn`- ARN dari profil pengguna yang menciptakan sumber daya. Ini memungkinkan pelacakan sumber daya yang dibuat oleh pengguna tertentu.
+ `sagemaker:space-arn`- ARN ruang tempat sumber daya dibuat. Ini memungkinkan pengelompokan dan isolasi sumber daya per ruang.
**catatan**
AWS tag yang dihasilkan tidak dapat diubah oleh pengguna.
Untuk informasi umum tentang menandai AWS sumber daya dan praktik terbaik, lihat [Menandai sumber daya Anda AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Untuk informasi tentang kasus penggunaan penandaan utama, lihat [Menandai kasus penggunaan](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html).
### Berikan izin untuk menambahkan tag saat membuat sumber daya SageMaker AI
Anda dapat mengizinkan pengguna (*tag yang ditentukan pengguna*) atau Studio dan Studio Classic (*tag AWS yang dihasilkan*) untuk menambahkan tag pada sumber daya SageMaker AI baru pada waktu pembuatan. Untuk melakukannya, izin IAM mereka harus menyertakan keduanya:
+ SageMaker AI dasar membuat izin untuk jenis sumber daya itu.
+ `sagemaker:AddTags`Izin.
Misalnya, mengizinkan pengguna untuk membuat pekerjaan SageMaker pelatihan dan menandai itu akan memerlukan pemberian izin untuk `sagemaker:CreateTrainingJob` dan. `sagemaker:AddTags`
**penting**
Kebijakan IAM khusus yang memungkinkan Amazon SageMaker Studio atau Amazon SageMaker Studio Classic membuat sumber daya Amazon SageMaker AI juga harus memberikan izin untuk menambahkan tag ke sumber daya tersebut. Izin untuk menambahkan tag ke sumber daya diperlukan karena Studio dan Studio Classic secara otomatis menandai sumber daya apa pun yang mereka buat. Jika kebijakan IAM memungkinkan Studio dan Studio Classic membuat sumber daya tetapi tidak mengizinkan penandaan, kesalahan "AccessDenied" dapat terjadi saat mencoba membuat sumber daya.
[AWS kebijakan terkelola untuk Amazon SageMaker AI](security-iam-awsmanpol.md)yang memberikan izin untuk membuat sumber daya SageMaker AI sudah menyertakan izin untuk menambahkan tag saat membuat sumber daya tersebut.
Administrator melampirkan izin IAM ini ke:
+ AWS Peran IAM yang ditetapkan kepada pengguna untuk tag yang ditentukan pengguna
+ peran eksekusi yang digunakan oleh Studio atau Studio Classic untuk tag AWS yang dihasilkan
Untuk petunjuk cara membuat dan menerapkan kebijakan IAM kustom, lihat [Membuat kebijakan IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
**catatan**
Daftar operasi pembuatan sumber daya SageMaker AI dapat ditemukan di [dokumentasi SageMaker API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations_Amazon_SageMaker_Service.html) dengan mencari tindakan yang dimulai dengan`Create`. Ini menciptakan tindakan, seperti `CreateTrainingJob` dan`CreateEndpoint`, adalah operasi yang menciptakan sumber daya SageMaker AI baru.
**Tambahkan izin tag ke tindakan pembuatan tertentu**
Anda memberikan `sagemaker:AddTags` izin dengan batasan dengan melampirkan kebijakan IAM tambahan ke kebijakan pembuatan sumber daya asli. Contoh kebijakan berikut memungkinkan`sagemaker:AddTags`, tetapi membatasinya hanya pada tindakan pembuatan sumber daya SageMaker AI tertentu seperti`CreateTrainingJob`.
```
{
"Sid": "AllowAddTagsForCreateOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateTrainingJob"
}
}
}
```
Kondisi kebijakan membatasi `sagemaker:AddTags` untuk digunakan bersama tindakan pembuatan tertentu. Dalam pendekatan ini, kebijakan izin buat tetap utuh sementara kebijakan tambahan menyediakan `sagemaker:AddTags` akses terbatas. Kondisi ini mencegah `sagemaker:AddTags` izin selimut dengan melingkupinya secara sempit ke tindakan pembuatan yang perlu diberi tag. Ini menerapkan hak istimewa paling sedikit `sagemaker:AddTags` dengan hanya mengizinkannya untuk kasus penggunaan pembuatan sumber daya SageMaker AI tertentu.
**Contoh: Izinkan izin tag secara global dan batasi tindakan pembuatan ke domain**
Dalam contoh kebijakan IAM kustom ini, dua pernyataan pertama menggambarkan penggunaan tag untuk melacak pembuatan sumber daya. Ini memungkinkan `sagemaker:CreateModel` tindakan pada semua sumber daya dan penandaan sumber daya tersebut ketika tindakan itu digunakan. Pernyataan ketiga menunjukkan bagaimana nilai tag dapat digunakan untuk mengontrol operasi pada sumber daya. Dalam hal ini, ini mencegah pembuatan sumber daya SageMaker AI apa pun yang ditandai dengan ARN domain tertentu, membatasi akses berdasarkan nilai tag.
Khususnya:
+ Pernyataan pertama memungkinkan `CreateModel` tindakan pada sumber daya apa pun (`*`).
+ Pernyataan kedua memungkinkan `sagemaker:AddTags` tindakan, tetapi hanya ketika kunci `sagemaker:TaggingAction` kondisi sama. `CreateModel` Ini membatasi `sagemaker:AddTags` tindakan hanya ketika digunakan untuk menandai model yang baru dibuat.
+ Pernyataan ketiga menyangkal SageMaker AI create action (`Create*`) apa pun pada resource (`*`) apa pun, tetapi hanya jika sumber daya memiliki tag yang `sagemaker:domain-arn` sama dengan domain `domain-arn` ARN tertentu,.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"sagemaker:CreateModel"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":"*",
"Condition":{
"String":{
"sagemaker:TaggingAction":[
"CreateModel"
]
}
}
},
{
"Sid":"IsolateDomain",
"Effect":"Deny",
"Resource":"*",
"Action":[
"sagemaker:Create*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:domain-arn":"domain-arn"
}
}
}
]
}
```
## Batasi akses ke sumber daya yang dapat dicari dengan kondisi visibilitas
Gunakan kondisi visibilitas untuk membatasi akses pengguna Anda ke sumber daya tertentu yang diberi tag dalam akun AWS . Pengguna Anda hanya dapat mengakses sumber daya yang izinnya mereka miliki. Ketika pengguna Anda mencari melalui sumber daya mereka, mereka dapat membatasi hasil pencarian ke sumber daya tertentu.
Anda mungkin ingin pengguna hanya melihat dan berinteraksi dengan sumber daya yang terkait dengan domain Amazon SageMaker Studio atau Amazon SageMaker Studio Classic tertentu. Anda dapat menggunakan kondisi visibilitas untuk membatasi akses mereka ke satu domain atau beberapa domain.
```
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Wilayah AWS:111122223333:domain/example-domain-1",
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Wilayah AWS:111122223333:domain/example-domain-2"
}
}
}
```
Format umum dari kondisi visibilitas adalah`"sagemaker:SearchVisibilityCondition/Tags.key": "value"`. Anda dapat memberikan pasangan nilai kunci untuk sumber daya yang diberi tag.
```
{
"MaxResults": number,
"NextToken": "string",
"Resource": "string", # Required Parameter
"SearchExpression": {
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedFilters": [
{
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedPropertyName": "string"
}
],
"Operator": "string",
"SubExpressions": [
"SearchExpression"
]
},
"IsCrossAccount": "string",
"VisibilityConditions" : [ List of conditions for visibility
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Wilayah AWS:111122223333:domain/example-domain-1"},
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Wilayah AWS:111122223333:domain/example-domain-2"}
]
],
"SortBy": "string",
"SortOrder": "string"
}
```
Kondisi visibilitas dalam menggunakan `"sagemaker:SearchVisibilityCondition/Tags.key": "value"` format yang sama yang ditentukan dalam kebijakan. Pengguna Anda dapat menentukan pasangan nilai kunci yang digunakan untuk sumber daya yang diberi tag.
Jika pengguna menyertakan `VisibilityConditions` parameter dalam permintaan [Penelusurannya](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html), tetapi kebijakan akses yang berlaku untuk pengguna tersebut tidak berisi kunci kondisi yang cocok yang ditentukan`VisibilityConditions`, `Search` permintaan tersebut tetap diizinkan dan akan berjalan.
Jika `VisibilityConditions` parameter tidak ditentukan dalam permintaan API [Pencarian](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) pengguna, tetapi kebijakan akses yang berlaku untuk pengguna tersebut berisi kunci kondisi yang terkait`VisibilityConditions`, `Search` permintaan pengguna tersebut ditolak.
# Pencegahan "confused deputy" lintas layanan
[Masalah confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) adalah masalah keamanan saat entitas yang tidak memiliki izin untuk melakukan suatu tindakan dapat memaksa entitas yang lebih berhak untuk melakukan tindakan tersebut. Pada tahun AWS, masalah wakil yang bingung dapat muncul karena peniruan identitas lintas layanan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan panggilan) *memanggil layanan* lain (layanan yang *disebut) dan memanfaatkan izin tinggi layanan* yang disebut untuk bertindak atas sumber daya yang tidak memiliki otorisasi untuk diakses oleh layanan panggilan. Untuk mencegah akses tidak sah melalui masalah wakil yang membingungkan, AWS sediakan alat untuk membantu mengamankan data Anda di seluruh layanan. Alat-alat ini membantu Anda mengontrol izin yang diberikan kepada prinsipal layanan, membatasi akses mereka hanya ke sumber daya di akun Anda yang diperlukan. Dengan mengelola hak akses kepala layanan secara hati-hati, Anda dapat membantu mengurangi risiko layanan mengakses data atau sumber daya secara tidak benar yang seharusnya tidak memiliki izin.
Baca terus untuk panduan umum atau arahkan ke contoh untuk fitur SageMaker AI tertentu:
**Topics**
+ [Batasi Izin Dengan Kunci Kondisi Global](#security-confused-deputy-context-keys)
+ [SageMaker Manajer Tepi](#security-confused-deputy-edge-manager)
+ [SageMaker Gambar](#security-confused-deputy-images)
+ [SageMaker Inferensi AI](#security-confused-deputy-inference)
+ [SageMaker Pekerjaan AI Batch Transform](#security-confused-deputy-batch)
+ [SageMaker Marketplace AI](#security-confused-deputy-marketplace)
+ [SageMaker Neo](#security-confused-deputy-neo)
+ [SageMaker Pipa](#security-confused-deputy-pipelines)
+ [SageMaker Pekerjaan Processing](#security-confused-deputy-processing-job)
+ [SageMaker Studio](#security-confused-deputy-studio)
+ [SageMaker Pekerjaan Pelatihan](#security-confused-deputy-training-job)
## Batasi Izin Dengan Kunci Kondisi Global
Sebaiknya gunakan `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` dan kunci kondisi `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` global dalam kebijakan sumber daya untuk membatasi izin ke sumber daya yang diberikan Amazon SageMaker AI kepada layanan lain. Jika Anda menggunakan kunci kondisi global dan `aws:SourceArn` nilainya berisi ID akun, `aws:SourceAccount` nilai dan akun dalam `aws:SourceArn` nilai harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci kondisi `aws:SourceArn` global dengan ARN penuh sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi `aws:SourceArn` global dengan wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:sagemaker:*:123456789012:*`.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan `aws:SourceArn` dan kunci kondisi `aws:SourceAccount` global di SageMaker AI untuk mencegah masalah wakil yang membingungkan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sagemaker:StartSession",
"Resource": "arn:aws:sagemaker:us-east-1:123456789012:ResourceName/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
## SageMaker Manajer Tepi
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Edge Manager yang dibuat berdasarkan nomor akun *123456789012* di *us-west-2* Wilayah.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Anda dapat mengganti template ini dengan ARN lengkap dari satu pekerjaan pengemasan tertentu untuk membatasi izin lebih lanjut. `aws:SourceArn`
## SageMaker Gambar
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk [SageMaker Gambar](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html). Gunakan template ini dengan salah satu `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` atau`[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. Contoh ini menggunakan `ImageVersion` catatan ARN dengan nomor rekening. *123456789012* Perhatikan bahwa karena nomor akun adalah bagian dari `aws:SourceArn` nilai, Anda tidak perlu menentukan `aws:SourceAccount` nilai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-2:123456789012:image-version/*"
}
}
}
}
```
------
Jangan mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari gambar atau versi gambar tertentu. ARN harus dalam format yang disediakan di atas dan tentukan salah satu atau`image`. `image-version` `partition`Placeholder harus menunjuk partisi AWS komersial (`aws`) atau partisi di AWS Tiongkok (`aws-cn`), tergantung di mana gambar atau versi gambar berjalan. Demikian pula, `region` placeholder di ARN dapat berupa [Wilayah yang valid](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) di mana SageMaker gambar tersedia.
## SageMaker Inferensi AI
[Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk inferensi SageMaker AI [real-time](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints), [tanpa server](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints), dan asinkron.](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) Perhatikan bahwa karena nomor akun adalah bagian dari `aws:SourceArn` nilai, Anda tidak perlu menentukan `aws:SourceAccount` nilai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Jangan mengganti template ini dengan ARN lengkap dari model atau titik akhir tertentu. `aws:SourceArn` ARN harus dalam format yang disediakan di atas. Tanda bintang di template ARN tidak berarti wildcard dan tidak boleh diubah.
## SageMaker Pekerjaan AI Batch Transform
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah deputi kebingungan lintas layanan untuk [pekerjaan transformasi batch SageMaker ](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) AI yang dibuat berdasarkan nomor akun *123456789012* di *us-west-2* Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*"
}
}
}
]
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN penuh dari satu pekerjaan transformasi batch tertentu untuk membatasi izin lebih lanjut.
## SageMaker Marketplace AI
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk sumber daya SageMaker AI Marketplace yang dibuat berdasarkan nomor akun *123456789012* di *us-west-2* Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Jangan mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari algoritma atau paket model tertentu. ARN harus dalam format yang disediakan di atas. Tanda bintang dalam template ARN memang merupakan singkatan dari wildcard dan mencakup semua pekerjaan pelatihan, model, dan pekerjaan transformasi batch dari langkah validasi, serta paket algoritme dan model yang diterbitkan ke AI Marketplace. SageMaker
## SageMaker Neo
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan kompilasi SageMaker Neo yang dibuat oleh nomor akun *123456789012* di *us-west-2* Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*"
}
}
}
]
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari satu pekerjaan kompilasi tertentu untuk membatasi izin lebih lanjut.
## SageMaker Pipa
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil lintas layanan yang membingungkan untuk [SageMaker Pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) menggunakan catatan eksekusi pipa dari satu atau lebih saluran pipa. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:pipeline/mypipeline/*"
}
}
}
]
}
```
------
Jangan mengganti `aws:SourceArn` dalam template ini dengan ARN penuh dari eksekusi pipeline tertentu. ARN harus dalam format yang disediakan di atas. `partition`Placeholder harus menunjuk partisi AWS komersial (`aws`) atau partisi di AWS Tiongkok (`aws-cn`), tergantung di mana pipa berjalan. Demikian pula, `region` placeholder di ARN dapat berupa [Wilayah yang valid](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) di mana SageMaker Pipelines tersedia.
Tanda bintang di template ARN memang merupakan singkatan dari wildcard dan mencakup semua eksekusi pipeline dari pipeline bernama. `mypipeline` Jika Anda ingin mengizinkan `AssumeRole` izin untuk semua saluran pipa di akun `123456789012` daripada satu pipa tertentu, maka itu `aws:SourceArn` akan menjadi. `arn:aws:sagemaker:*:123456789012:pipeline/*`
## SageMaker Pekerjaan Processing
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk SageMaker Memproses pekerjaan yang dibuat oleh nomor akun *123456789012* di *us-west-2* Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*"
}
}
}
]
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN penuh dari satu pekerjaan pemrosesan tertentu untuk membatasi izin lebih lanjut.
## SageMaker Studio
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah deputi kebingungan lintas layanan untuk SageMaker Studio yang dibuat berdasarkan nomor akun *123456789012* di *us-west-2* Wilayah. Perhatikan bahwa karena nomor akun adalah bagian dari `aws:SourceArn` nilai, Anda tidak perlu menentukan `aws:SourceAccount` nilai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Jangan mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari aplikasi Studio tertentu, profil pengguna, atau domain. ARN harus dalam format yang disediakan pada contoh sebelumnya. Tanda bintang di template ARN tidak berarti wildcard dan tidak boleh diubah.
## SageMaker Pekerjaan Pelatihan
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci kondisi `aws:SourceArn` global untuk mencegah masalah wakil kebingungan lintas layanan untuk pekerjaan SageMaker pelatihan yang dibuat oleh nomor akun *123456789012* di *us-west-2* Wilayah. Perhatikan bahwa karena nomor akun ada di ARN, Anda tidak perlu menentukan nilai. `aws:SourceAccount`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*"
}
}
}
]
}
```
------
Anda dapat mengganti `aws:SourceArn` dalam template ini dengan ARN lengkap dari satu pekerjaan pelatihan tertentu untuk membatasi izin lebih lanjut.
**Selanjutnya**
Untuk informasi selengkapnya tentang mengelola peran eksekusi, lihat [Peran SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).
# Cara menggunakan peran eksekusi SageMaker AI
Amazon SageMaker AI melakukan operasi atas nama Anda menggunakan AWS layanan lain. Anda harus memberikan izin SageMaker AI untuk menggunakan layanan ini dan sumber daya tempat mereka bertindak. Anda memberikan SageMaker AI izin ini menggunakan peran eksekusi AWS Identity and Access Management (IAM). Untuk informasi selengkapnya tentang peran IAM, lihat peran [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Untuk membuat dan menggunakan peran eksekusi, Anda dapat menggunakan prosedur berikut.
## Buat peran eksekusi
Gunakan prosedur berikut untuk membuat peran eksekusi dengan kebijakan terkelola IAM,`AmazonSageMakerFullAccess`, terlampir. Jika kasus penggunaan Anda memerlukan izin yang lebih terperinci, gunakan bagian lain di halaman ini untuk membuat peran eksekusi yang memenuhi kebutuhan bisnis Anda. Anda dapat membuat peran eksekusi menggunakan konsol SageMaker AI atau AWS CLI.
**penting**
Kebijakan terkelola IAM`AmazonSageMakerFullAccess`, yang digunakan dalam prosedur berikut hanya memberikan izin peran eksekusi untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek `SageMaker` dengan`Sagemaker`,,`sagemaker`, `aws-glue` atau dalam nama. Untuk mempelajari cara menambahkan kebijakan tambahan ke peran eksekusi agar akses ke bucket dan objek Amazon S3 lainnya, lihat. [Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi AI SageMaker](#sagemaker-roles-get-execution-role-s3)
**catatan**
Anda dapat membuat peran eksekusi secara langsung saat membuat domain SageMaker AI atau instance notebook.
Untuk informasi tentang cara membuat domain SageMaker AI, lihat[Panduan untuk mengatur dengan Amazon SageMaker AI](gs.md).
Untuk informasi tentang cara membuat instance notebook, lihat[Buat Instans SageMaker Notebook Amazon untuk tutorial](gs-setup-working-env.md).
**Untuk membuat peran eksekusi baru dari konsol SageMaker AI**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pilih **Peran** dan kemudian pilih **Buat peran**.
1. Simpan **AWS layanan** sebagai **jenis entitas Tepercaya**, lalu gunakan panah bawah untuk menemukan **SageMaker AI** dalam **kasus Penggunaan untuk AWS layanan lain**.
1. Pilih **SageMaker AI — Eksekusi** dan kemudian pilih **Berikutnya**.
1. Kebijakan yang dikelola IAM,`AmazonSageMakerFullAccess`, secara otomatis dilampirkan ke peran. Untuk melihat izin yang disertakan dalam kebijakan ini, pilih tanda tambah (**\$1**) di samping nama kebijakan. Pilih **Berikutnya**.
1. Masukkan **nama Peran** dan **Deskripsi**.
1. (Opsional) Tambahkan izin dan tag tambahan ke peran.
1. Pilih **Buat peran**.
1. Di bagian **Peran** konsol IAM, temukan peran yang baru saja Anda buat. Jika diperlukan, gunakan kotak teks untuk mencari peran menggunakan nama peran.
1. Pada halaman ringkasan peran, catat ARN.
**Untuk membuat peran eksekusi baru dari AWS CLI**
Sebelum Anda membuat peran eksekusi menggunakan AWS CLI, pastikan untuk memperbarui dan mengonfigurasinya dengan mengikuti instruksi di[(Opsional) Konfigurasikan AWS CLI](gs-set-up.md#gs-cli-prereq), lalu lanjutkan dengan instruksi di[Penyiapan khusus menggunakan AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Setelah Anda membuat peran eksekusi, Anda dapat mengaitkannya dengan domain SageMaker AI, profil pengguna, atau dengan instance notebook Jupyter.
+ Untuk mempelajari cara mengaitkan peran eksekusi dengan domain SageMaker AI yang ada, lihat[Edit pengaturan domain](domain-edit.md).
+ Untuk mempelajari cara mengaitkan peran eksekusi dengan profil pengguna yang ada, lihat[Tambahkan profil pengguna](domain-user-profile-add.md).
+ Untuk mempelajari cara mengaitkan peran eksekusi dengan instance notebook yang ada, lihat[Memperbarui Instance Notebook](nbi-update.md).
Anda juga dapat meneruskan ARN dari peran eksekusi ke panggilan API Anda. Misalnya, menggunakan [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable), Anda dapat meneruskan ARN peran eksekusi Anda ke estimator. Dalam contoh kode berikut, kami membuat estimator menggunakan wadah XGBoost algoritma dan meneruskan ARN dari peran eksekusi sebagai parameter. Untuk contoh selengkapnya tentang GitHub, lihat [Prediksi Churn Pelanggan](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb) dengan. XGBoost
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi AI SageMaker
Saat Anda menggunakan fitur SageMaker AI dengan sumber daya di Amazon S3, seperti data input, peran eksekusi yang Anda tentukan dalam permintaan Anda (misalnya`CreateTrainingJob`) digunakan untuk mengakses sumber daya ini.
Jika Anda melampirkan kebijakan terkelola IAM`AmazonSageMakerFullAccess`, ke peran eksekusi, peran tersebut memiliki izin untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek `SageMaker` dengan`Sagemaker`,,`sagemaker`, `aws-glue` atau dalam nama. Ini juga memiliki izin untuk melakukan tindakan berikut pada sumber daya Amazon S3 apa pun:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Untuk memberikan izin peran eksekusi untuk mengakses satu atau beberapa bucket tertentu di Amazon S3, Anda dapat melampirkan kebijakan yang mirip dengan peran berikut ini. Kebijakan ini memberikan izin peran IAM untuk melakukan semua tindakan yang `AmazonSageMakerFullAccess` memungkinkan tetapi membatasi akses ini ke bucket amzn-s3-demo-bucket1 dan amzn-s3-demo-bucket2. Lihat dokumentasi keamanan untuk fitur SageMaker AI tertentu yang Anda gunakan untuk mempelajari lebih lanjut tentang izin Amazon S3 yang diperlukan untuk fitur tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
------
## Dapatkan peran eksekusi Anda
Anda dapat menggunakan [konsol SageMaker AI](https://console.aws.amazon.com/sagemaker), [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable), atau [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)untuk mengambil ARN dan nama peran eksekusi yang dilampirkan ke SageMaker domain AI, ruang, atau profil pengguna.
**Topics**
+ [Dapatkan peran eksekusi domain](#sagemaker-roles-get-execution-role-domain)
+ [Dapatkan peran eksekusi ruang](#sagemaker-roles-get-execution-role-space)
+ [Dapatkan peran eksekusi pengguna](#sagemaker-roles-get-execution-role-user)
### Dapatkan peran eksekusi domain
Berikut ini memberikan petunjuk tentang menemukan peran eksekusi domain Anda.
#### Dapatkan peran eksekusi domain (konsol)
**Temukan peran eksekusi yang dilampirkan ke domain Anda**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Pengaturan domain**.
1. Di bagian **Pengaturan umum**, peran eksekusi ARN tercantum di bawah Peran **eksekusi**.
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
### Dapatkan peran eksekusi ruang
Berikut ini memberikan instruksi untuk menemukan peran eksekusi ruang Anda.
#### Dapatkan peran eksekusi ruang (konsol)
**Temukan peran eksekusi yang melekat pada ruang Anda**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Manajemen ruang**.
1. Di bagian **Detail**, peran eksekusi ARN tercantum di bawah Peran **eksekusi**.
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
#### Dapatkan peran eksekusi ruang (SDK untuk Python)
**catatan**
Kode berikut dimaksudkan untuk dijalankan di lingkungan SageMaker AI, seperti yang ada IDEs di Amazon SageMaker Studio. Anda akan menerima kesalahan jika Anda berjalan `get_execution_role` di luar lingkungan SageMaker AI.
Perintah [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)[Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) berikut mengambil ARN dari peran eksekusi yang dilampirkan ke ruang.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
### Dapatkan peran eksekusi pengguna
Berikut ini memberikan instruksi untuk menemukan peran eksekusi pengguna.
#### Dapatkan peran eksekusi pengguna (konsol)
**Temukan peran eksekusi yang dilampirkan ke pengguna**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Profil pengguna**.
1. Pilih tautan yang sesuai dengan pengguna Anda.
1. Di bagian **Detail**, peran eksekusi ARN tercantum di bawah Peran **eksekusi**.
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
#### Dapatkan peran eksekusi ruang (AWS CLI)
**catatan**
Untuk menggunakan contoh berikut, Anda harus memiliki AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi. Untuk selengkapnya, lihat [Memulai AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) di *Panduan AWS Command Line Interface Pengguna untuk Versi 2*.
[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI Perintah berikut menampilkan informasi tentang identitas IAM yang digunakan untuk mengautentikasi permintaan. Penelepon adalah pengguna IAM.
```
aws sts get-caller-identity
```
Nama peran eksekusi adalah setelah yang terakhir `/` dalam peran eksekusi ARN.
## Ubah peran eksekusi Anda
Peran eksekusi adalah peran IAM yang diasumsikan oleh identitas SageMaker AI (seperti pengguna SageMaker AI, ruang, atau domain). Mengubah peran IAM mengubah izin untuk semua identitas dengan asumsi peran tersebut.
Saat Anda mengubah peran eksekusi, peran eksekusi ruang yang sesuai juga akan berubah. Efek dari perubahan mungkin membutuhkan waktu untuk menyebar.
+ Saat Anda mengubah *peran eksekusi pengguna*, *ruang pribadi* yang dibuat oleh pengguna tersebut akan mengambil peran eksekusi yang diubah.
+ Saat Anda mengubah *peran eksekusi default spasi*, *spasi bersama* di domain akan mengambil peran eksekusi yang diubah.
Untuk informasi selengkapnya tentang peran dan spasi eksekusi, lihat[Memahami izin ruang domain dan peran eksekusi](execution-roles-and-spaces.md).
Anda dapat mengubah peran eksekusi untuk identitas ke peran IAM yang berbeda dengan menggunakan salah satu instruksi berikut.
Sebaliknya, jika Anda ingin *memodifikasi* peran yang diasumsikan oleh identitas, lihat[Ubah izin ke peran eksekusi](#sagemaker-roles-modify-to-execution-role).
**Topics**
+ [Mengubah peran eksekusi default domain](#sagemaker-roles-change-execution-role-domain)
+ [Ubah peran eksekusi default spasi](#sagemaker-roles-change-execution-role-space)
+ [Ubah peran eksekusi profil pengguna](#sagemaker-roles-change-execution-role-user)
### Mengubah peran eksekusi default domain
Berikut ini memberikan petunjuk tentang mengubah peran eksekusi default domain Anda.
#### Mengubah peran eksekusi default domain (konsol)
**Mengubah peran eksekusi default yang dilampirkan ke domain Anda**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Pengaturan domain**.
1. Di bagian **Pengaturan umum**, pilih **Edit**.
1. Di bagian **Izin, di bawah Peran** **eksekusi default, perluas** daftar drop-down.
1. Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih **Buat peran menggunakan opsi panduan pembuatan peran**.
1. Pilih Berikutnya dalam langkah-langkah berikut dan pilih Kirim pada langkah terakhir.
### Ubah peran eksekusi default spasi
Berikut ini memberikan petunjuk tentang mengubah peran eksekusi default ruang Anda. Mengubah peran eksekusi ini akan mengubah peran yang diasumsikan oleh semua spasi bersama di domain.
#### Ubah peran eksekusi default ruang (konsol)
**Ubah peran eksekusi default spasi saat Anda membuat spasi baru**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Pengaturan domain**.
1. Di bagian **Pengaturan umum**, pilih **Edit**.
1. Di bagian **Izin, di bawah Peran** **eksekusi default Space, perluas** daftar drop-down.
1. Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih **Buat peran menggunakan opsi panduan pembuatan peran**.
1. Pilih **Berikutnya** dalam langkah-langkah berikut dan pilih **Kirim** pada langkah terakhir.
### Ubah peran eksekusi profil pengguna
Berikut ini memberikan instruksi tentang mengubah peran eksekusi pengguna. Mengubah peran eksekusi ini akan mengubah peran yang diasumsikan oleh semua ruang pribadi yang dibuat oleh pengguna ini.
#### Ubah peran eksekusi profil pengguna (konsol)
**Mengubah peran eksekusi yang dilampirkan ke pengguna**
1. Buka konsol SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Di panel navigasi kiri, pilih **Domain** di bawah konfigurasi **Admin**.
1. Pilih tautan yang sesuai dengan domain Anda.
1. Pilih tab **Profil pengguna**.
1. Pilih tautan yang sesuai dengan nama profil pengguna.
1. Pilih **Edit**.
1. Dalam daftar drop-down Anda dapat memilih peran yang ada, memasukkan ARN peran IAM kustom, atau membuat peran baru.
Jika ingin membuat peran baru, Anda dapat memilih **Buat peran menggunakan opsi panduan pembuatan peran**.
1. Pilih **Berikutnya** dalam langkah-langkah berikut dan pilih **Kirim** pada langkah terakhir.
## Ubah izin ke peran eksekusi
Anda dapat mengubah izin yang ada ke peran eksekusi identitas (seperti pengguna SageMaker AI, ruang, atau domain). Hal ini dilakukan dengan menemukan peran IAM yang sesuai yang diasumsikan oleh identitas, kemudian memodifikasi peran IAM tersebut. Berikut ini akan memberikan instruksi untuk mencapai ini melalui konsol.
Saat Anda memodifikasi peran eksekusi, peran eksekusi ruang yang sesuai juga akan berubah. Efek dari perubahan mungkin tidak langsung.
+ Saat Anda memodifikasi *peran eksekusi pengguna*, *ruang pribadi* yang dibuat oleh pengguna tersebut akan mengambil peran eksekusi yang dimodifikasi.
+ Saat Anda mengubah *peran eksekusi default spasi*, *spasi bersama* di domain akan mengambil peran eksekusi yang dimodifikasi.
Untuk informasi selengkapnya tentang peran dan spasi eksekusi, lihat[Memahami izin ruang domain dan peran eksekusi](execution-roles-and-spaces.md).
Sebaliknya, jika Anda ingin *mengubah* peran yang diasumsikan oleh identitas, lihat[Ubah peran eksekusi Anda](#sagemaker-roles-change-execution-role).
### Ubah izin ke peran eksekusi (konsol)
**Untuk mengubah izin ke peran eksekusi**
1. Pertama dapatkan nama identitas yang ingin Anda modifikasi.
+ [Dapatkan peran eksekusi domain](#sagemaker-roles-get-execution-role-domain)
+ [Dapatkan peran eksekusi ruang](#sagemaker-roles-get-execution-role-space)
+ [Dapatkan peran eksekusi pengguna](#sagemaker-roles-get-execution-role-user)
1. Untuk mengubah peran yang diasumsikan identitas, lihat [Memodifikasi peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) dalam *AWS Identity and Access Management Panduan Pengguna*.
*Untuk informasi selengkapnya dan petunjuk tentang menambahkan izin ke identitas IAM, lihat [Menambahkan atau menghapus izin identitas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna.AWS Identity and Access Management *
## Peran Lulus
Tindakan seperti melewati peran antar layanan adalah fungsi umum dalam SageMaker AI. Anda dapat menemukan detail selengkapnya tentang [Tindakan, Sumber Daya, dan Kunci Kondisi untuk SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) di *Referensi Otorisasi Layanan*.
Anda meneruskan role (`iam:PassRole`) saat melakukan panggilan API ini: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html), dan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Anda melampirkan kebijakan kepercayaan berikut ke peran IAM yang memberikan izin utama SageMaker AI untuk mengambil peran, dan sama untuk semua peran eksekusi:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Izin yang perlu Anda berikan untuk peran bervariasi tergantung pada API yang Anda panggil. Bagian berikut menjelaskan izin ini.
**catatan**
Alih-alih mengelola izin dengan membuat kebijakan izin, Anda dapat menggunakan kebijakan izin yang AWS dikelola`AmazonSageMakerFullAccess`. Izin dalam kebijakan ini cukup luas, untuk memungkinkan tindakan apa pun yang mungkin ingin Anda lakukan di SageMaker AI. Untuk daftar kebijakan termasuk informasi tentang alasan menambahkan banyak izin, lihat[AWS kebijakan terkelola: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Jika Anda memilih untuk membuat kebijakan kustom dan mengelola izin untuk cakupan izin hanya untuk tindakan yang perlu Anda lakukan dengan peran eksekusi, lihat topik berikut.
**penting**
Jika Anda mengalami masalah, lihat[Memecahkan Masalah Identitas dan SageMaker Akses Amazon AI](security_iam_troubleshoot.md).
Untuk informasi selengkapnya tentang peran IAM, lihat Peran [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dalam Referensi *Otorisasi Layanan*.
**Topics**
+ [Buat peran eksekusi](#sagemaker-roles-create-execution-role)
+ [Dapatkan peran eksekusi Anda](#sagemaker-roles-get-execution-role)
+ [Ubah peran eksekusi Anda](#sagemaker-roles-change-execution-role)
+ [Ubah izin ke peran eksekusi](#sagemaker-roles-modify-to-execution-role)
+ [Peran Lulus](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob dan CreateAuto MLJob V2 API: Izin Peran Eksekusi](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: Izin Peran Eksekusi](#sagemaker-roles-createdomain-perms)
+ [CreateImage dan UpdateImage APIs: Izin Peran Eksekusi](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: Izin Peran Eksekusi](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: Izin Peran Eksekusi](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: Izin Peran Eksekusi](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: Izin Peran Eksekusi](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: Izin Peran Eksekusi](#sagemaker-roles-createmodel-perms)
+ [SageMaker peran kemampuan geospasial](sagemaker-geospatial-roles.md)
## CreateAutoMLJob dan CreateAuto MLJob V2 API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateAutoMLJob` atau `CreateAutoMLJobV2` API, Anda dapat melampirkan kebijakan izin minimum berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Jika Anda menentukan VPC pribadi untuk pekerjaan AutoML Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan AutoML Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan AutoML Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: Izin Peran Eksekusi
Peran eksekusi untuk domain dengan IAM Identity Center dan user/execution peran untuk domain IAM memerlukan izin berikut saat Anda meneruskan kunci terkelola AWS KMS pelanggan seperti dalam `KmsKeyId` permintaan API. `CreateDomain` Izin diberlakukan selama panggilan `CreateApp` API.
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateDomain` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
Atau, jika izin ditentukan dalam kebijakan KMS, Anda dapat melampirkan kebijakan berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage dan UpdateImage APIs: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateImage` atau `UpdateImage` API, Anda dapat melampirkan kebijakan izin berikut ke peran tersebut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: Izin Peran Eksekusi
Izin yang Anda berikan untuk peran eksekusi untuk memanggil `CreateNotebookInstance` API bergantung pada apa yang Anda rencanakan untuk dilakukan dengan instance notebook. Jika Anda berencana menggunakannya untuk memanggil SageMaker AI APIs dan meneruskan peran yang sama saat memanggil `CreateTrainingJob` dan `CreateModel` APIs, lampirkan kebijakan izin berikut ke peran tersebut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Untuk memperketat izin, batasi ke sumber daya Amazon S3 dan Amazon ECR tertentu, dengan `"Resource": "*"` membatasi, sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object1",
"arn:aws:s3:::outputbucket/path",
"arn:aws:s3:::inputbucket/object2",
"arn:aws:s3:::inputbucket/object3"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo1",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo2",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo3"
]
}
]
}
```
------
Jika Anda berencana untuk mengakses sumber daya lain, seperti Amazon DynamoDB atau Amazon Relational Database Service, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan `s3:ListBucket` izin ke bucket tertentu yang Anda tentukan seperti `InputDataConfig.DataSource.S3DataSource.S3Uri` dalam `CreateTrainingJob` permintaan.
+ Lingkup `s3:GetObject ``s3:PutObject`,, dan `s3:DeleteObject` izin sebagai berikut:
+ Cakupan ke nilai berikut yang Anda tentukan dalam `CreateTrainingJob` permintaan:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Cakupan ke nilai berikut yang Anda tentukan dalam `CreateModel` permintaan:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ `ecr`Izin lingkup sebagai berikut:
+ Cakupan ke `AlgorithmSpecification.TrainingImage` nilai yang Anda tentukan dalam `CreateTrainingJob` permintaan.
+ Cakupan ke `PrimaryContainer.Image` nilai yang Anda tentukan dalam `CreateModel` permintaan:
Tindakan `cloudwatch` dan `logs` tindakan berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
## CreateHyperParameterTuningJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateHyperParameterTuningJob` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Alih-alih menentukan`"Resource": "*"`, Anda dapat mencakup izin ini ke sumber daya Amazon S3, Amazon ECR, CloudWatch dan Amazon Logs tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Jika container pelatihan yang terkait dengan tugas penyetelan hyperparameter perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan `s3:ListBucket` izin ke bucket tertentu yang Anda tentukan `InputDataConfig.DataSource.S3DataSource.S3Uri` sebagai `CreateTrainingJob` permintaan.
+ Cakupan `s3:GetObject ` dan `s3:PutObject` izin ke objek berikut yang Anda tentukan dalam konfigurasi data input dan output dalam `CreateHyperParameterTuningJob` permintaan:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Cakupan izin Amazon ECR ke jalur registri (`AlgorithmSpecification.TrainingImage`) yang Anda tentukan dalam permintaan. `CreateHyperParameterTuningJob`
+ Cakupan izin Amazon CloudWatch Logs untuk log grup pekerjaan SageMaker pelatihan.
`cloudwatch`Tindakan tersebut berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [ CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan penyetelan hyperparameter Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan penyetelan hyperparameter Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya tugas penyetelan hyperparameter Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateProcessingJob` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Alih-alih menentukan`"Resource": "*"`, Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Jika `CreateProcessingJob.AppSpecification.ImageUri` perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan `s3:ListBucket` izin ke bucket tertentu yang Anda tentukan `ProcessingInputs` sebagai `CreateProcessingJob` permintaan.
+ Cakupan `s3:GetObject ` dan `s3:PutObject` izin untuk objek yang akan diunduh atau diunggah dalam `ProcessingInputs` dan `ProcessingOutputConfig` dalam permintaan. `CreateProcessingJob`
+ Cakupan izin Amazon ECR ke jalur registri (`AppSpecification.ImageUri`) yang Anda tentukan dalam permintaan. `CreateProcessingJob`
Tindakan `cloudwatch` dan `logs` tindakan berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan pemrosesan Anda, tambahkan izin berikut. Jangan cakup dalam kebijakan dengan kondisi atau filter sumber daya apa pun. Jika tidak, pemeriksaan validasi yang terjadi selama pembuatan pekerjaan pemrosesan gagal.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan pemrosesan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan pemrosesan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateTrainingJob` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Alih-alih menentukan`"Resource": "*"`, Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Jika `CreateTrainingJob.AlgorithSpecifications.TrainingImage` perlu mengakses sumber data lain, seperti DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Jika Anda menentukan sumber daya algoritme dengan menggunakan `AlgorithmSpecification.AlgorithmArn` parameter, peran eksekusi juga harus memiliki izin berikut:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan `s3:ListBucket` izin ke bucket tertentu yang Anda tentukan `InputDataConfig.DataSource.S3DataSource.S3Uri` sebagai `CreateTrainingJob` permintaan.
+ Cakupan `s3:GetObject ` dan `s3:PutObject` izin ke objek berikut yang Anda tentukan dalam konfigurasi data input dan output dalam `CreateTrainingJob` permintaan:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Cakupan izin Amazon ECR ke jalur registri (`AlgorithmSpecification.TrainingImage`) yang Anda tentukan dalam permintaan. `CreateTrainingJob`
Tindakan `cloudwatch` dan `logs` tindakan berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
Jika Anda menentukan VPC pribadi untuk pekerjaan pelatihan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Jika input Anda dienkripsi menggunakan enkripsi sisi server dengan kunci yang AWS dikelola KMS (SSE-KMS), tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Jika Anda menentukan kunci KMS dalam konfigurasi output pekerjaan pelatihan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Jika Anda menentukan kunci volume KMS dalam konfigurasi sumber daya pekerjaan pelatihan Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `CreateModel` API, Anda dapat melampirkan kebijakan izin berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Alih-alih menentukan`"Resource": "*"`, Anda dapat mencakup izin ini ke sumber daya Amazon S3 dan Amazon ECR tertentu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
]
}
]
}
```
------
Jika `CreateModel.PrimaryContainer.Image` perlu mengakses sumber data lain, seperti Amazon DynamoDB atau sumber daya Amazon RDS, tambahkan izin yang relevan ke kebijakan ini.
Dalam kebijakan sebelumnya, Anda mencakup kebijakan sebagai berikut:
+ Cakupan izin S3 untuk objek yang Anda tentukan `PrimaryContainer.ModelDataUrl` dalam permintaan. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)
+ Cakupan izin Amazon ECR ke jalur registri tertentu yang Anda tentukan sebagai `PrimaryContainer.Image` dan `SecondaryContainer.Image` dalam permintaan. `CreateModel`
Tindakan `cloudwatch` dan `logs` tindakan berlaku untuk sumber daya “\$1”. Untuk informasi selengkapnya, lihat [CloudWatch Sumber Daya dan Operasi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) di Panduan CloudWatch Pengguna Amazon.
**catatan**
Jika Anda berencana untuk menggunakan [fitur pagar pembatas penerapan SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) untuk penerapan model dalam produksi, pastikan peran eksekusi Anda memiliki izin untuk melakukan `cloudwatch:DescribeAlarms` tindakan pada alarm rollback otomatis Anda.
Jika Anda menentukan VPC pribadi untuk model Anda, tambahkan izin berikut:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
# SageMaker peran kemampuan geospasial
Sebagai layanan terkelola, kemampuan SageMaker geospasial Amazon melakukan operasi atas nama Anda pada AWS perangkat keras yang dikelola oleh SageMaker AI. Gunakan AWS Identity and Access Management untuk memberi pengguna, grup, dan peran akses ke SageMaker geospasial.
Administrator IAM dapat memberikan izin ini kepada pengguna, grup, atau peran menggunakan Konsol Manajemen AWS, AWS CLI, atau salah satu. AWS SDKs
**Untuk menggunakan SageMaker geospasial, Anda memerlukan izin IAM berikut.**
1. **Peran eksekusi SageMaker AI.**
Untuk menggunakan operasi API khusus SageMaker geospasial, peran eksekusi SageMaker AI Anda harus menyertakan prinsip layanan SageMaker geospasial, `sagemaker-geospatial.amazonaws.com` dalam kebijakan kepercayaan peran eksekusi. Ini memungkinkan peran eksekusi SageMaker AI untuk melakukan tindakan atas nama Anda. Akun AWS
1. **Pengguna, grup, atau peran yang memiliki akses Amazon SageMaker Studio Classic dan SageMaker geospasial**
Untuk memulai SageMaker geospasial, Anda dapat menggunakan kebijakan AWS terkelola:`AmazonSageMakerGeospatialFullAccess`. Hibah ini akan memberikan pengguna, grup, atau peran akses penuh ke SageMaker geospasial. Untuk melihat kebijakan dan mempelajari lebih lanjut tentang tindakan, sumber daya, dan ketentuan yang tersedia, lihat[AWS kebijakan terkelola: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Untuk memulai Studio Classic dan membuat domain Amazon SageMaker AI, lihat[Ikhtisar domain Amazon SageMaker AI](gs-studio-onboard.md).
Gunakan topik berikut untuk membuat peran eksekusi SageMaker AI baru, memperbarui peran eksekusi SageMaker AI yang ada, dan pelajari cara mengelola izin menggunakan tindakan, sumber daya, dan kondisi IAM khusus SageMaker geospasial.
**Topics**
+ [Membuat peran eksekusi SageMaker AI baru](sagemaker-geospatial-roles-create-execution-role.md)
+ [Menambahkan prinsip layanan SageMaker geospasial ke peran eksekusi SageMaker AI yang ada](sagemaker-geospatial-roles-pass-role.md)
+ [`StartEarthObservationJob`API: Izin peran eksekusi](sagemaker-roles-start-eoj-perms.md)
+ [`StartVectorEnrichmentJob`API: Izin peran eksekusi](sagemaker-roles-start-vej-perms.md)
+ [`ExportEarthObservationJob`API: Izin peran eksekusi](sagemaker-roles-export-eoj-perms.md)
+ [`ExportVectorEnrichmentJob`API: Izin Peran Eksekusi](sagemaker-roles-export-vej-perms.md)
# Membuat peran eksekusi SageMaker AI baru
Untuk bekerja dengan kemampuan SageMaker geospasial, Anda harus mengatur pengguna, grup, atau peran, dan peran eksekusi. Peran pengguna adalah AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan pengguna di dalamnya AWS. Peran eksekusi adalah peran IAM yang memberikan izin layanan untuk mengakses sumber daya Anda AWS . Peran eksekusi terdiri dari izin dan kebijakan kepercayaan. Kebijakan kepercayaan menentukan kepala sekolah mana yang memiliki izin untuk mengambil peran tersebut.
SageMaker geospasial juga membutuhkan prinsip layanan yang berbeda,`sagemaker-geospatial.amazonaws.com`. Jika Anda adalah pelanggan SageMaker AI yang sudah ada, Anda harus menambahkan prinsip layanan tambahan ini ke kebijakan kepercayaan Anda.
Gunakan prosedur berikut untuk membuat peran eksekusi baru dengan kebijakan terkelola IAM,`AmazonSageMakerGeospatialFullAccess`, terlampir. Jika kasus penggunaan Anda memerlukan izin yang lebih terperinci, gunakan bagian lain dari panduan ini untuk membuat peran eksekusi yang memenuhi kebutuhan bisnis Anda.
**penting**
Kebijakan terkelola IAM`AmazonSageMakerGeospatialFullAccess`, yang digunakan dalam prosedur berikut, hanya memberikan izin peran eksekusi untuk melakukan tindakan Amazon S3 tertentu pada bucket atau objek `SageMaker` dengan`Sagemaker`,,`sagemaker`, `aws-glue` atau dalam nama. Untuk mempelajari cara memperbarui kebijakan peran eksekusi agar akses ke bucket dan objek Amazon S3 lainnya, lihat. [Tambahkan Izin Amazon S3 Tambahan ke Peran Eksekusi AI SageMaker](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3)
**Untuk membuat peran baru**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pilih **Peran** dan kemudian pilih **Buat peran**.
1. Pilih **SageMaker**.
1. Pilih **Berikutnya: Izin**.
1. Kebijakan yang dikelola IAM, secara otomatis `AmazonSageMakerGeospatialFullAccess` dilampirkan ke peran ini. Untuk melihat izin yang disertakan dalam kebijakan ini, pilih panah menyamping di samping nama kebijakan. Pilih **Berikutnya: Tag**.
1. (Opsional) Tambahkan tag dan pilih **Berikutnya: Ulasan**.
1. Beri nama peran di bidang teks di bawah **Nama peran** dan pilih **Buat peran**.
1. Di bagian **Peran** konsol IAM, pilih peran yang baru saja Anda buat di langkah 7. Jika perlu, gunakan kotak teks untuk mencari peran menggunakan nama peran yang Anda masukkan di langkah 7.
1. Pada halaman ringkasan peran, catat ARN.
# Menambahkan prinsip layanan SageMaker geospasial ke peran eksekusi SageMaker AI yang ada
Untuk menggunakan operasi API khusus SageMaker geospasial, peran eksekusi SageMaker AI Anda harus menyertakan prinsip layanan SageMaker geospasial, `sagemaker-geospatial.amazonaws.com` dalam kebijakan kepercayaan peran eksekusi. Ini memungkinkan peran eksekusi SageMaker AI untuk melakukan tindakan atas nama Anda. Akun AWS
Tindakan seperti melewati peran antar layanan adalah hal biasa dalam SageMaker AI. Untuk lebih jelasnya,
Untuk menambahkan prinsip layanan SageMaker geospasial ke peran eksekusi SageMaker AI yang ada, perbarui kebijakan yang ada untuk memasukkan prinsip layanan SageMaker geospasial seperti yang ditunjukkan dalam kebijakan kepercayaan berikut. Dengan melampirkan prinsip layanan ke kebijakan kepercayaan, peran eksekusi SageMaker AI sekarang dapat menjalankan SageMaker geospasial spesifik APIs atas nama Anda.
Untuk mempelajari lebih lanjut tentang tindakan, sumber daya, dan kondisi IAM khusus SageMaker geospasial, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk SageMaker AI](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) di Panduan Pengguna *IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# `StartEarthObservationJob`API: Izin peran eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `StartEarthObservationJob` API, Anda dapat melampirkan kebijakan izin minimum berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Jika bucket Amazon S3 masukan Anda dienkripsi menggunakan enkripsi sisi server dengan kunci AWS KMS terkelola (SSE-KMS), lihat [Menggunakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Kunci Bucket Amazon S3 untuk informasi selengkapnya.
# `StartVectorEnrichmentJob`API: Izin peran eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `StartVectorEnrichmentJob` API, Anda dapat melampirkan kebijakan izin minimum berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Jika bucket Amazon S3 masukan Anda dienkripsi menggunakan enkripsi sisi server dengan kunci AWS KMS terkelola (SSE-KMS), lihat [Menggunakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Kunci Bucket Amazon S3 untuk informasi selengkapnya.
# `ExportEarthObservationJob`API: Izin peran eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `ExportEarthObservationJob` API, Anda dapat melampirkan kebijakan izin minimum berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Jika bucket Amazon S3 masukan Anda dienkripsi menggunakan enkripsi sisi server dengan kunci AWS KMS terkelola (SSE-KMS), lihat [Menggunakan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Kunci Bucket Amazon S3 untuk informasi selengkapnya.
# `ExportVectorEnrichmentJob`API: Izin Peran Eksekusi
Untuk peran eksekusi yang dapat diteruskan dalam permintaan `ExportVectorEnrichmentJob` API, Anda dapat melampirkan kebijakan izin minimum berikut ke peran:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
[Jika bucket Amazon S3 masukan Anda dienkripsi menggunakan enkripsi sisi server dengan kunci AWS KMS terkelola (SSE-KMS), lihat Menggunakan Kunci Bucket Amazon S3.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)
# Manajer SageMaker Peran Amazon
Administrator pembelajaran mesin (ML) yang berjuang untuk mendapatkan izin hak istimewa paling sedikit dengan SageMaker Amazon AI harus memperhitungkan keragaman perspektif industri, termasuk kebutuhan akses hak istimewa paling unik yang diperlukan untuk persona seperti ilmuwan data, insinyur operasi pembelajaran mesin (), dan banyak lagi. MLOps Gunakan Amazon SageMaker Role Manager untuk membangun dan mengelola peran IAM berbasis persona untuk kebutuhan pembelajaran mesin umum secara langsung melalui konsol Amazon SageMaker AI.
Amazon SageMaker Role Manager menyediakan 3 persona peran yang telah dikonfigurasi sebelumnya dan izin yang telah ditentukan sebelumnya untuk aktivitas MLM umum. Jelajahi persona yang disediakan dan kebijakan yang disarankan, atau buat dan pertahankan peran untuk persona yang unik untuk kebutuhan bisnis Anda. Jika Anda memerlukan penyesuaian tambahan, tentukan izin jaringan dan enkripsi untuk sumber daya [Amazon Virtual Private Cloud](https://aws.amazon.com/vpc/) dan kunci [AWS Key Management Service](https://aws.amazon.com/kms/)enkripsi di [Langkah 1. Masukkan informasi peran](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) Amazon SageMaker Role Manager.
**Topics**
+ [Menggunakan manajer peran (konsol)](role-manager-tutorial.md)
+ [Menggunakan manajer peran (AWS CDK)](role-manager-tutorial-cdk.md)
+ [Referensi persona](role-manager-personas.md)
+ [Referensi aktivitas ML](role-manager-ml-activities.md)
+ [Luncurkan Studio Klasik](role-manager-launch-notebook.md)
+ [Manajer Peran FAQs](role-manager-faqs.md)
# Menggunakan manajer peran (konsol)
Anda dapat menggunakan Amazon SageMaker Role Manager dari lokasi berikut di navigasi sebelah kiri konsol Amazon SageMaker AI:
+ **Memulai** — Tambahkan kebijakan izin dengan cepat untuk pengguna Anda.
+ **domain** — Tambahkan kebijakan izin untuk pengguna dalam domain Amazon SageMaker AI.
+ **Notebook** — Tambahkan izin paling sedikit untuk pengguna yang membuat dan menjalankan buku catatan.
+ **Pelatihan** — Tambahkan izin paling sedikit untuk pengguna yang membuat dan mengelola pekerjaan pelatihan.
+ **Inferensi** — Tambahkan izin paling sedikit untuk pengguna yang menerapkan dan mengelola model untuk inferensi.
Anda dapat menggunakan prosedur berikut ini untuk memulai proses pembuatan peran dari berbagai lokasi di konsol SageMaker AI.
## Memulai
Jika Anda menggunakan SageMaker AI untuk pertama kalinya, sebaiknya buat peran dari bagian **Memulai**.
Untuk membuat peran menggunakan Amazon SageMaker Role Manager, lakukan hal berikut.
1. Buka konsol Amazon SageMaker AI.
1. Di panel navigasi kiri, pilih **Konfigurasi admin**.
1. Di bawah **Konfigurasi admin**, pilih **Manajer peran**.
1. Pilih **Buat peran**.
## wilayah
Anda dapat membuat peran menggunakan Amazon SageMaker Role Manager saat memulai proses pembuatan domain Amazon SageMaker AI.
Untuk membuat peran menggunakan Amazon SageMaker Role Manager, lakukan hal berikut.
1. Buka konsol Amazon SageMaker AI.
1. Di panel navigasi kiri, pilih **Konfigurasi admin**.
1. Di bawah **konfigurasi Admin**, pilih **domain**.
1. Pilih **Create domain** (Buat domain).
1. Pilih **Buat peran menggunakan panduan pembuatan peran**.
## Buku catatan
Anda dapat membuat peran menggunakan Amazon SageMaker Role Manager saat memulai proses pembuatan buku catatan.
Untuk membuat peran menggunakan Amazon SageMaker Role Manager, lakukan hal berikut.
1. Buka konsol Amazon SageMaker AI.
1. **Pada navigasi sebelah kiri, pilih Notebook.**
1. Pilih **instans Notebook**.
1. Pilih **Buat instans notebook**.
1. Pilih **Buat peran menggunakan panduan pembuatan peran**.
## Pelatihan
Anda dapat membuat peran menggunakan Amazon SageMaker Role Manager saat memulai proses pembuatan pekerjaan pelatihan.
Untuk membuat peran menggunakan Amazon SageMaker Role Manager, lakukan hal berikut.
1. Buka konsol Amazon SageMaker AI.
1. **Di navigasi sebelah kiri, pilih Pelatihan.**
1. Pilih **Pekerjaan Pelatihan**.
1. Pilih **Buat pekerjaan pelatihan**.
1. Pilih **Buat peran menggunakan panduan pembuatan peran**.
## Inferensi
Anda dapat membuat peran menggunakan Amazon SageMaker Role Manager saat memulai proses penerapan model untuk inferensi.
Untuk membuat peran menggunakan Amazon SageMaker Role Manager, lakukan hal berikut.
1. Buka konsol Amazon SageMaker AI.
1. **Di navigasi sebelah kiri, pilih Inferensi.**
1. Pilih **Model**.
1. Pilih **Buat model**.
1. Pilih **Buat peran menggunakan panduan pembuatan peran**.
Setelah menyelesaikan salah satu prosedur sebelumnya, gunakan informasi di bagian berikut untuk membantu Anda membuat peran.
## Prasyarat
Untuk menggunakan Amazon SageMaker Role Manager, Anda harus memiliki izin untuk membuat peran IAM. Izin ini biasanya tersedia untuk administrator dan peran dengan izin hak istimewa paling sedikit untuk praktisi ML.
Anda dapat mengambil peran IAM untuk sementara Konsol Manajemen AWS dengan [beralih peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Untuk informasi selengkapnya tentang cara menggunakan peran, lihat [Menggunakan peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) dalam *Panduan Pengguna IAM*.
## Langkah 1. Masukkan informasi peran
Berikan nama untuk digunakan sebagai akhiran unik dari peran SageMaker AI baru Anda. Secara default, awalan `"sagemaker-"` ditambahkan ke setiap nama peran untuk pencarian yang lebih mudah di konsol IAM. Misalnya, jika Anda memberi nama peran `test-123` selama pembuatan peran, peran Anda akan muncul seperti `sagemaker-test-123` di konsol IAM. Anda dapat menambahkan deskripsi peran Anda secara opsional untuk memberikan detail tambahan.
Kemudian, pilih salah satu persona yang tersedia untuk mendapatkan izin yang disarankan untuk persona seperti ilmuwan data, insinyur data, atau insinyur operasi pembelajaran mesin ()MLOps. Untuk informasi tentang persona yang tersedia dan izin yang disarankan, lihat. [Referensi persona](role-manager-personas.md) Untuk membuat peran tanpa izin yang disarankan untuk memandu Anda, pilih **Pengaturan Peran Kustom**.
**catatan**
Kami menyarankan Anda terlebih dahulu menggunakan manajer peran untuk membuat Peran Komputasi SageMaker AI sehingga sumber daya komputasi SageMaker AI memiliki kemampuan untuk melakukan tugas-tugas seperti pelatihan dan inferensi. Gunakan persona Peran Komputasi SageMaker AI untuk membuat peran ini dengan manajer peran. Setelah membuat Peran Komputasi SageMaker AI, perhatikan ARN untuk penggunaan masa depan.
### Kondisi jaringan dan enkripsi
Kami menyarankan Anda mengaktifkan kustomisasi VPC untuk menggunakan konfigurasi VPC, subnet, dan grup keamanan dengan kebijakan IAM yang terkait dengan peran baru Anda. Saat kustomisasi VPC diaktifkan, kebijakan IAM untuk aktivitas ML yang berinteraksi dengan sumber daya VPC dicakup untuk akses hak istimewa paling sedikit. Kustomisasi VPC tidak diaktifkan secara default. Untuk detail lebih lanjut tentang arsitektur jaringan yang direkomendasikan, lihat [Arsitektur jaringan](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/networking-architecture.html) di *Panduan AWS Teknis*.
Anda juga dapat menggunakan kunci KMS untuk mengenkripsi, mendekripsi, dan mengenkripsi ulang data untuk beban kerja yang diatur dengan data yang sangat sensitif. Saat AWS KMS kustomisasi diaktifkan, kebijakan IAM untuk aktivitas ML yang mendukung kunci enkripsi kustom dicakup untuk akses hak istimewa paling sedikit. Untuk informasi selengkapnya, lihat [Enkripsi dengan AWS KMS](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/encryption-with-kms.html) di *Panduan AWS Teknis*.
## Langkah 2. Konfigurasikan aktivitas ML
Setiap aktivitas Amazon SageMaker Role Manager MLL menyertakan izin IAM yang disarankan untuk menyediakan akses ke sumber daya yang relevan AWS . Beberapa aktivitas ML mengharuskan Anda menambahkan peran layanan ARNs untuk menyelesaikan penyiapan. Untuk informasi tentang aktivitas ML yang telah ditentukan sebelumnya dan izinnya, lihat. [Referensi aktivitas ML](role-manager-ml-activities.md) Untuk informasi tentang menambahkan peran layanan, lihat[Peran layanan](#role-manager-tutorial-configure-ml-activities-service-roles).
Berdasarkan persona yang dipilih, aktivitas ML tertentu sudah dipilih. Anda dapat membatalkan pilihan aktivitas ML yang disarankan atau memilih aktivitas tambahan untuk membuat peran Anda sendiri. Jika Anda memilih persona Pengaturan Peran Kustom, maka tidak ada aktivitas ML yang dipilih sebelumnya dalam langkah ini.
Anda dapat menambahkan kebijakan IAM tambahan AWS atau yang dikelola pelanggan ke peran Anda. [Langkah 3: Tambahkan kebijakan dan tag tambahan](#role-manager-tutorial-add-policies-and-tags)
### Peran layanan
Beberapa AWS layanan memerlukan peran layanan untuk melakukan tindakan atas nama Anda. Jika aktivitas ML yang Anda pilih mengharuskan Anda untuk meneruskan peran layanan, maka Anda harus menyediakan ARN untuk peran layanan tersebut.
Anda dapat membuat peran layanan baru atau menggunakan yang sudah ada, seperti peran layanan yang dibuat dengan persona Peran Komputasi SageMaker AI. Anda dapat menemukan ARN dari peran yang ada dengan memilih nama peran di bagian Peran konsol [IAM](https://console.aws.amazon.com/iamv2/). Untuk mempelajari lebih lanjut tentang peran layanan, lihat [Membuat peran untuk AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
## Langkah 3: Tambahkan kebijakan dan tag tambahan
Anda dapat menambahkan kebijakan IAM yang sudah ada AWS atau yang dikelola pelanggan ke peran baru Anda. Untuk informasi tentang kebijakan SageMaker AI yang ada, lihat [Kebijakan AWS Terkelola untuk Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html). Anda juga dapat memeriksa kebijakan yang ada di bagian **Peran** [konsol IAM](https://console.aws.amazon.com/iamv2/).
Secara opsional, gunakan kondisi kebijakan berbasis tag untuk menetapkan informasi metadata guna mengkategorikan dan mengelola sumber daya. AWS Setiap tag diwakili oleh pasangan kunci-nilai. Untuk informasi selengkapnya, lihat [Mengontrol akses ke AWS sumber daya menggunakan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
## Peran tinjau
Luangkan waktu untuk meninjau semua informasi yang terkait dengan peran baru Anda. Pilih **Sebelumnya** untuk kembali dan mengedit informasi apa pun. Ketika Anda siap untuk membuat peran Anda, pilih **Buat peran**. Ini menghasilkan peran dengan izin untuk aktivitas ML yang Anda pilih. Anda dapat melihat peran baru Anda di bagian **Peran** [konsol IAM](https://console.aws.amazon.com/iamv2/).
# Menggunakan manajer peran (AWS CDK)
Gunakan AWS Cloud Development Kit (AWS CDK) dengan Amazon SageMaker Role Manager untuk membuat peran secara terprogram dan menetapkan izin. Anda dapat menggunakan AWS CDK untuk menyelesaikan tugas apa pun yang dapat Anda lakukan menggunakan. Konsol Manajemen AWS Akses terprogram CDK membuatnya lebih mudah untuk memberikan izin yang memberi pengguna Anda akses ke sumber daya tertentu. Untuk informasi lebih lanjut tentang AWS CDK, lihat [Apa itu AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html)
**penting**
Anda harus menggunakan persona Peran Komputasi SageMaker AI untuk membuat Peran Komputasi SageMaker AI. Untuk informasi lebih lanjut tentang komputasi persona, lihat. [SageMaker AI menghitung persona](role-manager-personas.md#role-manager-personas-compute) Untuk kode yang dapat Anda gunakan untuk membuat peran komputasi di dalamnya AWS CDK, lihat[Berikan izin ke persona Compute](#role-manager-cdk-compute-persona).
Berikut ini adalah contoh tugas yang dapat Anda lakukan di AWS CDK:
+ Buat peran IAM dengan izin granular untuk persona pembelajaran mesin (ML), seperti Ilmuwan dan Insinyur Data. MLOps
+ Berikan izin untuk konstruksi CDK dari persona ML atau aktivitas ML.
+ Tetapkan parameter kondisi aktivitas ML.
+ Aktifkan VPC dan AWS Key Management Service kondisi Amazon global dan tetapkan nilainya.
+ Pilih dari semua versi aktivitas ML untuk pengguna Anda tanpa menyebabkan gangguan pada akses mereka.
Ada AWS tugas umum yang terkait dengan pembelajaran mesin (ML) dengan SageMaker AI yang memerlukan izin IAM tertentu. Izin untuk melakukan tugas didefinisikan sebagai aktivitas ML di Amazon SageMaker Role Manager. Aktivitas ML menentukan satu set izin yang ditautkan ke peran IAM. Misalnya, aktivitas ML untuk Amazon SageMaker Studio Classic memiliki semua izin yang diperlukan pengguna untuk mengakses Studio Classic. Untuk informasi selengkapnya tentang aktivitas ML, lihat[Referensi aktivitas ML](role-manager-ml-activities.md).
Saat Anda membuat peran, pertama-tama Anda menentukan konstruksi untuk persona ML atau aktivitas ML. Konstruksi adalah sumber daya dalam AWS CDK tumpukan. Misalnya, konstruksi bisa berupa bucket Amazon S3, subnet Amazon VPC, atau peran IAM.
Saat Anda membuat persona atau aktivitas, Anda dapat membatasi izin yang terkait dengan persona atau aktivitas tersebut ke sumber daya tertentu. Misalnya, Anda dapat menyesuaikan aktivitas agar hanya memberikan izin untuk subnet tertentu dalam VPC Amazon.
Setelah menetapkan izin, Anda dapat membuat peran dan meneruskan peran tersebut untuk membuat sumber daya lain, seperti instance SageMaker buku catatan.
Berikut ini adalah contoh kode di TypeScript untuk tugas yang dapat Anda selesaikan menggunakan CDK. Saat membuat aktivitas, Anda menentukan ID dan opsi untuk konstruksi aktivitas. Opsi adalah kamus yang menentukan parameter yang diperlukan untuk aktivitas, seperti Amazon S3. Anda meneruskan kamus kosong untuk aktivitas yang tidak memiliki parameter yang diperlukan.
## Berikan izin ke persona Compute
Kode berikut membuat persona Data Scientist MLdengan satu set aktivitas ML khusus untuk persona. Izin dari aktivitas ML hanya berlaku untuk VPC Amazon AWS KMS dan konfigurasi yang ditentukan dalam konstruksi persona. Kode berikut membuat kelas untuk persona Data Scientist. Aktivitas ML didefinisikan dalam daftar aktivitas. Izin VPC dan izin KMS didefinisikan sebagai parameter opsional di luar daftar aktivitas.
Setelah Anda mendefinisikan kelas, Anda dapat membuat peran sebagai konstruksi dalam AWS CDK tumpukan. Anda juga dapat membuat instance notebook. Orang yang menggunakan peran IAM yang Anda buat dalam kode berikut dapat mengakses instance notebook saat mereka masuk ke AWS akun mereka.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.accessAwsServices(this, 'example-id1', {})
]
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Berikan izin kepada persona Ilmuwan Data
Kode berikut membuat persona Data Scientist MLdengan satu set aktivitas ML khusus untuk persona. Izin dari aktivitas ML hanya berlaku untuk konfigurasi VPC dan KMS yang ditentukan dalam konstruksi persona. Kode berikut membuat kelas untuk persona Data Scientist. Aktivitas ML didefinisikan dalam daftar aktivitas. Izin VPC Amazon dan izin didefinisikan sebagai parameter opsional di luar daftar aktivitas. AWS KMS
Setelah Anda mendefinisikan kelas, Anda dapat membuat peran sebagai konstruksi dalam AWS CDK tumpukan. Anda juga dapat membuat instance notebook. Orang yang menggunakan peran IAM yang Anda buat dalam kode berikut dapat mengakses instance notebook saat mereka masuk ke AWS akun mereka.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageJobs(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageModels(this, 'example-id3', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageExperiments(this, 'example-id4', {}),
Activity.visualizeExperiments(this, 'example-id5', {}),
Activity.accessS3Buckets(this, 'example-id6', {s3buckets: [s3.S3Bucket.fromBucketName('amzn-s3-demo-bucket')]})
],
// optional: to configure VPC permissions
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
// optional: to configure KMS permissions
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
const notebookInstance = new CfnNotebookInstance(this, 'example-notebook-instance-name', { RoleArn: role.RoleArn, ...});
}
}
```
## Berikan izin ke persona Ops Ops
Kode berikut membuat persona Ops MLdengan satu set aktivitas ML khusus untuk persona. Izin dari aktivitas ML hanya berlaku untuk VPC Amazon AWS KMS dan konfigurasi yang ditentukan dalam konstruksi persona. Kode berikut membuat kelas untuk persona Ops Ops. Aktivitas ML didefinisikan dalam daftar aktivitas. Izin VPC dan izin KMS didefinisikan sebagai parameter opsional di luar daftar aktivitas.
Setelah Anda mendefinisikan kelas, Anda dapat membuat peran sebagai konstruksi dalam AWS CDK tumpukan. Anda juga dapat membuat profil pengguna Amazon SageMaker Studio Classic. Orang yang menggunakan peran IAM yang Anda buat dalam kode berikut dapat membuka SageMaker Studio Classic saat mereka masuk ke AWS akun mereka.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
let userProfile = new CfnNUserProfile(this, 'example-Studio Classic-profile-name', { RoleName: role.RoleName, ... });
}
}
```
## Berikan izin untuk sebuah konstruksi
Kode berikut membuat persona Ops MLdengan satu set aktivitas ML khusus untuk persona. Kode berikut membuat kelas untuk persona Ops Ops. Aktivitas ML didefinisikan dalam daftar aktivitas.
Setelah Anda mendefinisikan kelas, Anda dapat membuat peran sebagai konstruksi dalam AWS CDK tumpukan. Anda juga dapat membuat instance notebook. Kode memberikan izin dari aktivitas ML ke peran IAM dari fungsi Lambda.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
});
const lambdaFn = lambda.Function.fromFunctionName('example-lambda-function-name');
persona.grantPermissionsTo(lambdaFn);
}
}
```
## Berikan izin untuk satu aktivitas ML
Kode berikut membuat aktivitas ML dan membuat peran dari aktivitas. Izin dari aktivitas hanya berlaku untuk konfigurasi VPC dan KMS yang Anda tentukan untuk pengguna.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = activity.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Buat peran dan berikan izin untuk satu aktivitas
Kode berikut membuat peran IAM untuk aktivitas MLtunggal.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
});
activity.create_role(this, 'example-IAM-role-id', 'example-IAM-role-name')
}
}
```
# Referensi persona
Amazon SageMaker Role Manager memberikan izin yang disarankan untuk sejumlah persona ML. Ini termasuk peran eksekusi pengguna untuk tanggung jawab praktisi MS umum serta peran eksekusi layanan untuk interaksi AWS layanan umum yang diperlukan untuk bekerja dengan SageMaker AI.
Setiap persona telah menyarankan izin dalam bentuk aktivitas ML yang dipilih. Untuk informasi tentang aktivitas ML yang telah ditentukan sebelumnya dan izinnya, lihat. [Referensi aktivitas ML](role-manager-ml-activities.md)
## Persona ilmuwan data
Gunakan persona ini untuk mengonfigurasi izin untuk melakukan pengembangan dan eksperimen pembelajaran mesin umum di lingkungan AI. SageMaker Persona ini mencakup aktivitas ML yang telah dipilih sebelumnya berikut:
+ Jalankan Aplikasi Studio Classic
+ Kelola Lowongan ML
+ Kelola Model
+ Kelola AWS Glue Tabel
+ Layanan Canvas AI
+ Kanvas MLOps
+ Akses Kanvas Kendra
+ Gunakan MLflow
+ Akses yang diperlukan ke AWS Layanan untuk MLflow
+ Jalankan Aplikasi Studio EMR Tanpa Server
## MLOps persona
Pilih persona ini untuk mengonfigurasi izin untuk aktivitas operasional. Persona ini mencakup aktivitas ML yang telah dipilih sebelumnya berikut:
+ Jalankan Aplikasi Studio Classic
+ Kelola Model
+ Mengelola Pipelines
+ Cari dan visualisasikan eksperimen
+ Amazon S3 Akses Penuh
## SageMaker AI menghitung persona
**catatan**
Kami menyarankan Anda terlebih dahulu menggunakan manajer peran untuk membuat Peran Komputasi SageMaker AI sehingga sumber daya komputasi SageMaker AI dapat melakukan tugas-tugas seperti pelatihan dan inferensi. Gunakan persona Peran Komputasi SageMaker AI untuk membuat peran ini dengan manajer peran. Setelah membuat Peran Komputasi SageMaker AI, perhatikan ARN untuk penggunaan masa depan.
Persona ini mencakup aktivitas ML yang telah dipilih sebelumnya berikut:
+ Akses AWS Layanan yang Diperlukan
# Referensi aktivitas ML
Aktivitas ML adalah AWS tugas umum yang terkait dengan pembelajaran mesin dengan SageMaker AI yang memerlukan izin IAM tertentu. Setiap [persona](https://docs.aws.amazon.com/sagemaker/latest/dg/role-manager-personas.html) menyarankan aktivitas ML terkait saat membuat peran dengan Amazon SageMaker Role Manager. Anda dapat memilih aktivitas ML tambahan atau membatalkan pilihan aktivitas ML yang disarankan untuk membuat peran yang memenuhi kebutuhan bisnis unik Anda.
Amazon SageMaker Role Manager menyediakan izin yang telah ditentukan untuk aktivitas ML berikut:
****
| **Aktivitas ML** | **Deskripsi** |
| --- | --- |
| Akses AWS Layanan yang Diperlukan | Izin untuk mengakses Amazon S3, Amazon ECR, Amazon, dan CloudWatch Amazon EC2. Diperlukan untuk peran eksekusi untuk pekerjaan dan titik akhir. |
| Jalankan Aplikasi Studio Classic | Izin untuk beroperasi dalam lingkungan Studio Classic. Diperlukan untuk peran eksekusi domain dan profil pengguna. |
| Kelola Lowongan ML | Izin untuk mengaudit, menanyakan garis keturunan, dan memvisualisasikan eksperimen. |
| Kelola Model | Izin untuk mengelola pekerjaan SageMaker AI di seluruh siklus hidupnya. |
| Mengelola Pipelines | Izin untuk mengelola SageMaker saluran pipa dan eksekusi pipa. |
| Cari dan visualisasikan eksperimen | Izin untuk mengaudit, menanyakan garis keturunan, dan memvisualisasikan SageMaker eksperimen AI. |
| Kelola Pemantauan Model | Izin untuk mengelola jadwal pemantauan untuk Monitor Model SageMaker AI. |
| Amazon S3 Akses Penuh | Izin untuk melakukan semua operasi Amazon S3. |
| Akses Bucket Amazon S3 | Izin untuk melakukan operasi pada bucket Amazon S3 tertentu. |
| Pertanyaan Athena Workgroups | Izin untuk menjalankan dan mengelola kueri Amazon Athena. |
| Kelola AWS Glue Tabel | Izin untuk membuat dan mengelola AWS Glue tabel untuk SageMaker AI Feature Store dan Data Wrangler. |
| SageMaker Akses Inti Kanvas | Izin untuk melakukan eksperimen di SageMaker Canvas (yaitu, persiapan data dasar, pembuatan model, validasi). |
| SageMaker Persiapan Data Kanvas (didukung oleh Data Wrangler) | Izin untuk melakukan persiapan end-to-end data di SageMaker Canvas (yaitu, agregat, transformasi dan analisis data, membuat dan menjadwalkan pekerjaan persiapan data pada kumpulan data besar). |
| SageMaker Layanan Canvas AI | Izin untuk mengakses ready-to-use model dari Amazon Bedrock, Amazon Textract, Amazon Rekognition, dan Amazon Comprehend. Selain itu, pengguna dapat menyempurnakan model foundation dari Amazon Bedrock dan Amazon. SageMaker JumpStart |
| SageMaker Kanvas MLOps | Izin bagi pengguna SageMaker Canvas untuk langsung menerapkan model ke titik akhir. |
| SageMaker Akses Kanvas Kendra | Izin SageMaker Canvas untuk mengakses Amazon Kendra untuk pencarian dokumen perusahaan. Izin hanya diberikan untuk nama indeks yang Anda pilih di Amazon Kendra. |
| Gunakan MLflow | Izin untuk mengelola eksperimen, menjalankan, dan model di MLflow. |
| Kelola MLflow Pelacakan Server | Izin untuk mengelola, memulai, dan menghentikan MLflow Pelacakan Server. |
| Akses yang diperlukan ke AWS Layanan untuk MLflow | Izin untuk MLflow Melacak Server untuk mengakses S3, Secrets Manager, dan Model Registry. |
| Jalankan Aplikasi Studio EMR Tanpa Server | Izin untuk Membuat dan Mengelola Aplikasi EMR Tanpa Server di Amazon Studio. SageMaker |
# Luncurkan Studio Klasik
Gunakan peran yang berfokus pada persona untuk meluncurkan Studio Classic. Jika Anda seorang administrator, Anda dapat memberi pengguna Anda akses ke Studio Classic dan meminta mereka mengambil peran persona mereka baik secara langsung melalui Konsol Manajemen AWS atau melalui. AWS IAM Identity Center
## Luncurkan Studio Classic dengan Konsol Manajemen AWS
Untuk ilmuwan data atau pengguna lain untuk mengasumsikan persona mereka melalui Konsol Manajemen AWS, mereka memerlukan peran konsol untuk sampai ke lingkungan Studio Classic.
Anda tidak dapat menggunakan Amazon SageMaker Role Manager untuk membuat peran yang memberikan izin ke. Konsol Manajemen AWS Namun, setelah membuat peran layanan di manajer peran, Anda dapat pergi ke konsol IAM untuk mengedit peran dan menambahkan peran akses pengguna. Berikut ini adalah contoh peran yang menyediakan akses pengguna ke Konsol Manajemen AWS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeCurrentDomain",
"Effect": "Allow",
"Action": "sagemaker:DescribeDomain",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:domain/"
},
{
"Sid": "RemoveErrorMessagesFromConsole",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAcceptedPortfolioShares",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:ListModels",
"sagemaker:ListTrainingJobs",
"servicecatalog:ListPrincipalsForPortfolio",
"sagemaker:ListNotebookInstances",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "RequiredForAccess",
"Effect": "Allow",
"Action": [
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": "*"
},
{
"Sid": "CreatePresignedURLForAccessToDomain",
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedDomainUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:user-profile//"
}
]
}
```
------
Di panel kontrol Studio Classic, pilih **Tambah Pengguna** untuk membuat pengguna baru. Di bagian **Pengaturan Umum**, beri nama pengguna Anda dan setel **peran eksekusi default** agar pengguna menjadi peran yang Anda buat menggunakan Amazon SageMaker Role Manager.
Pada layar berikutnya, pilih versi Jupyter Lab yang sesuai, dan apakah akan mengaktifkan SageMaker JumpStart dan template SageMaker AI Project. Lalu pilih **Selanjutnya**. Pada halaman pengaturan SageMaker Canvas, pilih apakah akan mengaktifkan dukungan SageMaker Canvas, dan juga apakah akan mengizinkan perkiraan waktu di Canvas. SageMaker Kemudian pilih **Kirim**.
Pengguna baru Anda sekarang akan terlihat di panel kontrol Studio Classic. Untuk menguji pengguna ini, pilih **Studio** dari daftar tarik-turun **Luncurkan aplikasi** di baris yang sama dengan nama pengguna.
## Luncurkan Studio Classic dengan IAM Identity Center
Untuk menetapkan pengguna IAM Identity Center ke peran eksekusi, pengguna harus terlebih dahulu ada di direktori IAM Identity Center. Untuk informasi selengkapnya, lihat [Mengelola identitas di Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) di. *AWS IAM Identity Center*
**catatan**
Direktori Autentikasi Pusat Identitas IAM Anda dan domain Studio Classic harus sama. Wilayah AWS
1. Untuk menetapkan pengguna Pusat Identitas IAM ke domain Studio Classic Anda, pilih **Tetapkan pengguna dan Grup di panel** kontrol Studio Classic. Di layar **Tetapkan pengguna dan grup** pilih pengguna ilmuwan data Anda, lalu pilih **Tetapkan Pengguna dan** Grup.
1. Setelah pengguna ditambahkan ke panel kontrol Studio Classic, pilih pengguna untuk membuka layar detail pengguna.
1. Pada layar **Detail pengguna**, pilih **Edit**.
1. Pada layar **Edit profil pengguna**, di bawah **Pengaturan umum**, ubah **peran eksekusi default** agar sesuai dengan peran eksekusi pengguna yang Anda buat untuk ilmuwan data Anda.
1. Pilih **Berikutnya** melalui halaman pengaturan lainnya, dan pilih **Kirim** untuk menyimpan perubahan Anda.
Saat ilmuwan data Anda atau pengguna lain masuk ke portal Pusat Identitas IAM, mereka melihat ubin untuk domain Studio Classic ini. Memilih ubin itu akan mencatatnya ke Studio Classic dengan peran eksekusi pengguna yang ditetapkan.
# Manajer Peran FAQs
Lihat item FAQ berikut untuk jawaban atas pertanyaan umum tentang Manajer SageMaker Peran Amazon.
## T. Bagaimana cara mengakses Amazon SageMaker Role Manager?
J: Anda dapat mengakses Amazon SageMaker Role Manager melalui beberapa lokasi di konsol Amazon SageMaker AI. Untuk informasi tentang mengakses manajer peran dan menggunakannya untuk membuat peran, lihat[Menggunakan manajer peran (konsol)](role-manager-tutorial.md).
## Q. Apa itu persona?
J: Persona adalah grup izin yang telah dikonfigurasi sebelumnya berdasarkan tanggung jawab pembelajaran mesin (ML) umum. Misalnya, persona ilmu data menyarankan izin untuk pengembangan dan eksperimen pembelajaran mesin umum di lingkungan SageMaker AI, sedangkan MLOps persona menyarankan izin untuk aktivitas ML. yang terkait dengan operasi.
## T. Apa itu kegiatan ML?
J: Aktivitas ML adalah AWS tugas umum yang terkait dengan pembelajaran mesin dengan SageMaker AI yang memerlukan izin IAM tertentu. Setiap persona menyarankan aktivitas ML terkait saat membuat peran dengan Amazon SageMaker Role Manager. Aktivitas ML mencakup tugas-tugas seperti akses penuh Amazon S3 atau mencari dan memvisualisasikan eksperimen. Untuk informasi selengkapnya, lihat [Referensi aktivitas ML](role-manager-ml-activities.md).
## T. Apakah peran yang saya buat dengan peran manajer peran AWS Identity and Access Management (IAM)?
J: Ya. Peran yang dibuat menggunakan Amazon SageMaker Role Manager adalah peran IAM dengan kebijakan akses yang disesuaikan. Anda dapat melihat peran yang dibuat di bagian **Peran** [konsol IAM](https://console.aws.amazon.com/iamv2/).
## T. Bagaimana cara melihat peran yang saya buat menggunakan Amazon SageMaker Role Manager?
J: Anda dapat melihat peran yang dibuat di bagian **Peran** [konsol IAM](https://console.aws.amazon.com/iamv2/). Secara default, awalan `"sagemaker-"` ditambahkan ke setiap nama peran untuk pencarian yang lebih mudah di konsol IAM. Misalnya, jika Anda memberi nama peran `test-123` selama pembuatan peran, peran Anda akan muncul seperti `sagemaker-test-123` di konsol IAM.
## T. Dapatkah saya memodifikasi peran yang dibuat dengan Amazon SageMaker Role Manager setelah dibuat?
J: Ya. Anda dapat mengubah peran dan kebijakan yang dibuat oleh Amazon SageMaker Role Manager melalui [konsol IAM](https://console.aws.amazon.com/iamv2/). Untuk informasi selengkapnya, lihat [Memodifikasi peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) dalam *Panduan AWS Identity and Access Management Pengguna*.
## T. Dapatkah saya melampirkan kebijakan saya sendiri ke peran yang dibuat menggunakan Amazon SageMaker Role Manager?
J: Ya. Anda dapat melampirkan kebijakan IAM apa pun AWS atau yang dikelola pelanggan dari akun ke peran yang Anda buat menggunakan Amazon SageMaker Role Manager.
## T. Berapa banyak kebijakan yang dapat saya tambahkan ke peran yang saya buat dengan Amazon SageMaker Role Manager?
J: Batas maksimum untuk melampirkan kebijakan terkelola ke peran IAM atau pengguna adalah 20. Batas ukuran karakter maksimum untuk kebijakan terkelola adalah 6.144. Untuk informasi selengkapnya, lihat [kuota objek IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities) dan [persyaratan nama IAM dan AWS Security Token Service kuota,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html) dan batas karakter.
## T. Dapatkah saya menambahkan kondisi ke aktivitas ML?
J: Ketentuan apa pun yang Anda berikan di [Langkah 1. Masukkan informasi peran](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) Manajer SageMaker Peran Amazon, seperti subnet, grup keamanan, atau kunci KMS, secara otomatis diteruskan ke aktivitas ML apa pun yang dipilih. [Langkah 2. Konfigurasikan aktivitas ML](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities) Anda juga dapat menambahkan kondisi tambahan ke aktivitas ML jika perlu. Misalnya, Anda juga dapat menambahkan `InstanceTypes` atau `IntercontainerTrafficEncryption` mengkondisikan aktivitas Kelola Pekerjaan Pelatihan.
## T. Dapatkah saya menggunakan penandaan untuk mengelola akses ke sumber daya apa pun? AWS
J: **** Anda dapat menambahkan tag ke peran Anda di [Langkah 3: Tambahkan kebijakan dan tag tambahan](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags) Manajer SageMaker Peran Amazon. Agar berhasil mengelola AWS sumber daya menggunakan tag, Anda harus menambahkan tag yang sama ke peran dan kebijakan terkait. Misalnya, Anda dapat menambahkan tag ke peran dan ke bucket Amazon S3. Kemudian, karena peran meneruskan tag ke sesi SageMaker AI, hanya pengguna dengan peran itu yang dapat mengakses bucket S3 itu. Anda dapat menambahkan tag ke kebijakan melalui [konsol IAM](https://console.aws.amazon.com/iamv2/). Untuk informasi selengkapnya, lihat [Menandai peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html) di *AWS Identity and Access Management Panduan Pengguna*.
## T. Dapatkah saya menggunakan Amazon SageMaker Role Manager untuk membuat peran untuk mengakses? Konsol Manajemen AWS
A: Tidak. Namun, setelah membuat peran layanan di manajer peran, Anda dapat pergi ke konsol IAM untuk mengedit peran dan menambahkan peran akses manusia di konsol IAM.
## T. Apa perbedaan antara peran federasi pengguna dan peran eksekusi SageMaker AI?
J: Peran federasi pengguna secara langsung diasumsikan oleh pengguna untuk mengakses AWS sumber daya seperti akses ke file Konsol Manajemen AWS. Peran eksekusi SageMaker AI diasumsikan oleh layanan SageMaker AI untuk melakukan fungsi atas nama pengguna atau alat otomatisasi. Misalnya, saat pengguna membuka instance Studio Classic, Studio Classic akan mengasumsikan peran eksekusi yang terkait dengan profil pengguna untuk mengakses AWS sumber daya atas nama pengguna. Jika profil pengguna tidak menentukan peran eksekusi, maka peran eksekusi ditentukan di tingkat domain Amazon SageMaker AI.
## T. Jika saya menggunakan aplikasi web kustom yang mengakses Studio Classic melalui url presigned, peran apa yang digunakan?
J: Jika Anda menggunakan aplikasi web khusus untuk mengakses Studio Classic, maka Anda memiliki peran federasi pengguna hibrida dan peran eksekusi SageMaker AI. Pastikan bahwa peran ini memiliki izin hak istimewa paling sedikit untuk apa yang dapat dilakukan pengguna dan apa yang dapat dilakukan Studio Classic atas nama pengguna terkait.
## T: Dapatkah saya menggunakan Amazon SageMaker Role Manager dengan autentikasi AWS IAM Identity Center untuk domain Studio Classic saya?
J: Aplikasi Cloud AWS IAM Identity Center Studio Classic menggunakan peran eksekusi Studio Classic untuk memberikan izin kepada pengguna federasi. Peran eksekusi ini dapat ditentukan di tingkat profil pengguna Studio Classic IAM Identity Center atau tingkat domain default. Identitas dan grup pengguna harus disinkronkan ke Pusat Identitas IAM dan profil pengguna Studio Classic harus dibuat dengan penugasan pengguna IAM Identity Center menggunakan. [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) Untuk informasi selengkapnya, lihat [Luncurkan Studio Classic dengan IAM Identity Center](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center).
# Kontrol akses untuk notebook
Anda harus menggunakan prosedur yang berbeda untuk mengontrol akses ke notebook Amazon SageMaker Studio Classic dan instance SageMaker notebook karena mereka memiliki lingkungan runtime yang berbeda. Studio Classic menggunakan izin sistem file dan kontainer untuk mengontrol akses ke notebook Studio Classic dan isolasi pengguna. Sebuah instance SageMaker notebook memberikan pengguna yang login ke instance notebook akses root default. Topik berikut menjelaskan cara mengubah izin untuk kedua jenis buku catatan.
**Topics**
+ [Kontrol akses dan pengaturan izin untuk notebook SageMaker Studio](security-access-control-studio-nb.md)
+ [Kontrol akses root ke instance SageMaker notebook](nbi-root-access.md)
# Kontrol akses dan pengaturan izin untuk notebook SageMaker Studio
Amazon SageMaker Studio menggunakan sistem file dan izin kontainer untuk kontrol akses dan isolasi pengguna dan notebook Studio. Ini adalah salah satu perbedaan utama antara notebook Studio dan instance SageMaker notebook. Topik ini menjelaskan bagaimana izin diatur untuk menghindari ancaman keamanan, apa yang dilakukan SageMaker AI secara default, dan bagaimana pelanggan dapat menyesuaikan izin. Untuk informasi selengkapnya tentang notebook Studio dan lingkungan runtime mereka, lihat. [Gunakan Notebook Amazon SageMaker Studio Classic](notebooks.md)
**SageMaker Izin aplikasi AI**
*Pengguna run-as* adalah POSIX user/group yang digunakan untuk menjalankan JupyterServer aplikasi dan KernelGateway aplikasi di dalam wadah.
Pengguna run-as untuk JupyterServer aplikasi ini adalah sagemaker-user (1000) secara default. Pengguna ini memiliki izin sudo untuk mengaktifkan instalasi dependensi seperti paket yum.
Pengguna run-as untuk KernelGateway aplikasi adalah root (0) secara default. Pengguna ini dapat menginstal dependensi menggunakan. pip/apt-get/conda
Karena pemetaan ulang pengguna, tidak ada pengguna yang dapat mengakses sumber daya atau membuat perubahan pada instance host.
**Pemetaan ulang pengguna**
SageMaker AI melakukan pemetaan ulang pengguna untuk memetakan pengguna di dalam wadah ke pengguna pada instance host di luar wadah. Rentang pengguna IDs (0 - 65535) dalam wadah dipetakan ke pengguna yang tidak memiliki hak istimewa IDs di atas 65535 pada instance. Misalnya, sagemaker-user (1000) di dalam container mungkin memetakan ke user (200001) pada instance, di mana angka dalam tanda kurung adalah ID pengguna. Jika pelanggan membuat yang baru user/group di dalam wadah, itu tidak akan mendapat hak istimewa pada instance host terlepas dari user/group IDnya. Pengguna root wadah juga dipetakan ke pengguna yang tidak memiliki hak istimewa pada instance. Untuk informasi selengkapnya, lihat [Mengisolasi kontainer dengan namespace pengguna](https://docs.docker.com/engine/security/userns-remap/).
**catatan**
File yang dibuat oleh pengguna sagemaker-user mungkin terlihat seperti dimiliki oleh sagemaker-studio (uid 65534). Ini adalah efek samping dari mode pembuatan aplikasi cepat di mana gambar kontainer SageMaker AI ditarik sebelumnya, memungkinkan aplikasi untuk memulai dalam waktu kurang dari satu menit. Jika aplikasi Anda mengharuskan uid pemilik file dan uid pemilik proses untuk mencocokkan, minta layanan pelanggan untuk menghapus nomor akun Anda dari fitur pra-tarik gambar.
**Izin gambar kustom**
Pelanggan dapat membawa SageMaker gambar kustom mereka sendiri. Gambar-gambar ini dapat menentukan run-as yang berbeda user/group untuk meluncurkan aplikasi. KernelGateway Pelanggan dapat menerapkan kontrol izin berbutir halus di dalam gambar, misalnya, untuk menonaktifkan akses root atau melakukan tindakan lain. Pemetaan ulang pengguna yang sama berlaku di sini. Untuk informasi selengkapnya, lihat [Gambar Kustom di Amazon SageMaker Studio Classic](studio-byoi.md).
**Isolasi kontainer**
Docker menyimpan daftar kemampuan default yang dapat digunakan penampung. SageMaker AI tidak menambahkan kemampuan tambahan. SageMaker AI menambahkan aturan rute khusus untuk memblokir permintaan ke Amazon EFS dan [layanan metadata instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service) (IMDS) dari container. Pelanggan tidak dapat mengubah aturan rute ini dari kontainer. Untuk informasi selengkapnya, lihat [hak istimewa Runtime dan kemampuan Linux](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities).
**Akses metadata aplikasi**
Metadata yang digunakan dengan menjalankan aplikasi dipasang ke wadah dengan izin hanya-baca. Pelanggan tidak dapat memodifikasi metadata ini dari wadah. Untuk metadata yang tersedia, lihat. [Dapatkan Notebook Amazon SageMaker Studio Classic dan Metadata Aplikasi](notebooks-run-and-manage-metadata.md)
**Isolasi pengguna di EFS**
Saat Anda melakukan onboard ke Studio, SageMaker AI akan membuat volume Amazon Elastic File System (EFS) untuk domain Anda yang dibagikan oleh semua pengguna Studio di domain tersebut. Setiap pengguna mendapatkan direktori home pribadi mereka sendiri pada volume EFS. Direktori home ini digunakan untuk menyimpan notebook pengguna, repositori Git, dan data lainnya. Untuk mencegah pengguna lain di domain mengakses data pengguna, SageMaker AI membuat ID pengguna unik secara global untuk profil pengguna dan menerapkannya sebagai user/group ID POSIX untuk direktori home pengguna.
**Akses EBS**
Volume Amazon Elastic Block Store (Amazon EBS) dilampirkan ke instance host dan dibagikan di semua gambar. Ini digunakan untuk volume root notebook dan menyimpan data sementara yang dihasilkan di dalam wadah. Penyimpanan tidak bertahan saat instance yang menjalankan notebook dihapus. Pengguna root di dalam wadah tidak dapat mengakses volume EBS.
**Akses IMDS**
Karena masalah keamanan, akses ke Amazon Elastic Compute Cloud (Amazon EC2) Instance Metadata Service (IMDS) tidak tersedia di Studio. SageMaker Untuk informasi selengkapnya tentang IMDS, lihat [Metadata instans dan data pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).
# Kontrol akses root ke instance SageMaker notebook
Secara default, saat Anda membuat instance notebook, pengguna yang masuk ke instance notebook tersebut memiliki akses root. Ilmu data adalah proses berulang yang mungkin memerlukan ilmuwan data untuk menguji dan menggunakan alat dan paket perangkat lunak yang berbeda, sehingga banyak pengguna instance notebook perlu memiliki akses root untuk dapat menginstal alat dan paket ini. Karena pengguna dengan akses root memiliki hak administrator, pengguna dapat mengakses dan mengedit semua file pada instance notebook dengan akses root diaktifkan.
Jika Anda tidak ingin pengguna memiliki akses root ke instance notebook, saat Anda memanggil [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html)atau [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html)mengoperasikannya, setel `RootAccess` field ke`Disabled`. Anda juga dapat menonaktifkan akses root untuk pengguna saat membuat atau memperbarui instance notebook di konsol Amazon SageMaker AI. Untuk informasi, lihat [Buat Instans SageMaker Notebook Amazon untuk tutorial](gs-setup-working-env.md).
**catatan**
Konfigurasi siklus hidup membutuhkan akses asal untuk dapat mengatur instans notebook. Karena itu, konfigurasi siklus hidup yang terkait dengan instans notebook selalu berjalan dengan akses asal meskipun Anda menonaktifkan akses asal untuk pengguna.
**catatan**
Untuk alasan keamanan, Rootless Docker diinstal pada instance notebook yang dinonaktifkan root, bukan Docker biasa. Untuk informasi selengkapnya, lihat [Menjalankan daemon Docker sebagai pengguna non-root (mode Rootless](https://docs.docker.com/engine/security/rootless/))
## Pertimbangan keamanan
Skrip konfigurasi siklus hidup dijalankan dengan akses root dan mewarisi hak istimewa penuh dari peran eksekusi IAM instance notebook. Siapa pun (termasuk Administrator) yang memiliki izin untuk membuat atau memodifikasi konfigurasi siklus hidup dan mengelola instance notebook dapat mengeksekusi kode dengan kredensi peran eksekusi, maka ikuti praktik terbaik di bawah ini.
Praktik terbaik:
+ Batasi akses administratif: Berikan izin konfigurasi siklus hidup hanya kepada administrator tepercaya yang memahami implikasi keamanan.
+ Menerapkan prinsip hak istimewa paling rendah: Tentukan peran eksekusi instans notebook hanya dengan izin minimum yang diperlukan untuk beban kerja yang sah.
+ Aktifkan pemantauan: Tinjau CloudWatch Log secara teratur untuk eksekusi konfigurasi siklus hidup di grup log `/aws/sagemaker/NotebookInstances` untuk mendeteksi aktivitas yang tidak terduga.
+ Menerapkan kontrol perubahan: Menetapkan proses persetujuan untuk perubahan konfigurasi siklus hidup di lingkungan produksi.
# Izin Amazon SageMaker AI API: Tindakan, Izin, dan Referensi Sumber Daya
Saat menyiapkan kontrol akses dan menulis kebijakan izin yang dapat dilampirkan ke identitas IAM (kebijakan berbasis identitas), gunakan tabel berikut sebagai referensi. Tabel mencantumkan setiap operasi Amazon SageMaker AI API, tindakan terkait yang dapat Anda berikan izin untuk melakukan tindakan, dan AWS sumber daya yang dapat Anda berikan izin. Anda menentukan tindakan dalam bidang `Action` kebijakan, dan Anda menentukan nilai sumber daya pada bidang `Resource` kebijakan.
**catatan**
Kecuali untuk `ListTags` API, pembatasan tingkat sumber daya tidak tersedia pada panggilan. `List-` Setiap pengguna yang memanggil `List-` API akan melihat semua sumber daya dari jenis itu di akun.
Untuk menyatakan kondisi dalam kebijakan SageMaker AI Amazon Anda, Anda dapat menggunakan tombol kondisi AWS-wide. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang [Tersedia](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html#AvailableKeys) di Referensi *Otorisasi Layanan*.
**Awas**
Beberapa tindakan SageMaker API mungkin masih dapat diakses melalui`[Search API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html)`. Misalnya, jika pengguna memiliki kebijakan IAM yang menolak izin `Describe` panggilan untuk sumber daya SageMaker AI tertentu, pengguna tersebut masih dapat mengakses informasi deskripsi melalui API Penelusuran. Untuk sepenuhnya membatasi akses pengguna ke `Describe` panggilan, Anda juga harus membatasi akses ke API Pencarian. Untuk daftar sumber daya SageMaker AI yang dapat diakses melalui API Pencarian, lihat [Referensi AWS CLI Perintah Pencarian SageMaker AI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/search.html#options).
Gunakan bilah gulir untuk melihat seluruh tabel.
Operasi Amazon SageMaker AI API dan Izin yang Diperlukan untuk Tindakan
****
| Operasi Amazon SageMaker AI API | Izin yang Diperlukan (Tindakan API) | Sumber daya |
| --- | --- | --- |
| `[ DeleteEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:DeleteEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ DeleteVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteVectorEnrichmentJob.html)` | `sagemaker-geospatial:DeleteVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ExportEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportEarthObservationJob.html)` | `sagemaker-geospatial:ExportEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ ExportVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportVectorEnrichmentJob.html)` | `sagemaker-geospatial:ExportVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ GetEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetEarthObservationJob.html)` | `sagemaker-geospatial:GetEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:GetRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ GetTile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetTile.html)` | `sagemaker-geospatial:GetTile` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetVectorEnrichmentJob.html)` | `sagemaker-geospatial:GetVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListEarthObservationJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListEarthObservationJobs.html)` | `sagemaker-geospatial:ListEarthObservationJobs` | `*` |
| `[ ListRasterDataCollections](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListRasterDataCollections.html)` | `sagemaker-geospatial:ListRasterDataCollections` | `*` |
| `[ ListTagsForResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListTagsForResource.html)` | `sagemaker-geospatial:ListTagsForResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListVectorEnrichmentJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListVectorEnrichmentJobs.html)` | `sagemaker-geospatial:ListVectorEnrichmentJobs` | `*` |
| `[ SearchRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_SearchRasterDataCollection.html)` | `sagemaker-geospatial:SearchRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ StartEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartEarthObservationJob.html)` | `sagemaker-geospatial:StartEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StartVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartVectorEnrichmentJob.html)` | `sagemaker-geospatial:StartVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ StopEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopEarthObservationJob.html)` | `sagemaker-geospatial:StopEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StopVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopVectorEnrichmentJob.html)` | `sagemaker-geospatial:StopVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ TagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_TagResource.html)` | `sagemaker-geospatial:TagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ UntagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_UntagResource.html)` | `sagemaker-geospatial:UntagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)` | `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:*` |
| `[ CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)` | `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| `[ CreateAppImageConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAppImageConfig.html)` | `sagemaker:CreateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| `[ CreateAutoMLJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html)` | `sagemaker:CreateAutoMLJob` `iam:PassRole` Izin berikut hanya diperlukan jika salah satu yang terkait `ResourceConfig` memiliki peran tertentu `VolumeKmsKeyId ` dan peran terkait tidak memiliki kebijakan yang mengizinkan tindakan ini: `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html) | `sagemaker:CreateAutoMLJobV2` `iam:PassRole` Izin berikut hanya diperlukan jika salah satu yang terkait `ResourceConfig` memiliki peran tertentu `VolumeKmsKeyId ` dan peran terkait tidak memiliki kebijakan yang mengizinkan tindakan ini: `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| `[ CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)` | `sagemaker:CreateDomain` `iam:CreateServiceLinkedRole` `iam:PassRole` Diperlukan jika kunci terkelola pelanggan KMS ditentukan untuk`KmsKeyId`: `elasticfilesystem:CreateFileSystem` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKeyWithoutPlainText` Diperlukan untuk membuat domain yang mendukung RStudio: `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:domain/domain-id` |
| `[ CreateEndpoint](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpoint.html)` | `sagemaker:CreateEndpoint` `kms:CreateGrant`(diperlukan hanya jika yang terkait `EndPointConfig` memiliki yang `KmsKeyId` ditentukan) | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html) | `sagemaker:CreateEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html) | `sagemaker:CreateFlowDefinition` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html) | `sagemaker:CreateHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html) | `sagemaker:CreateInferenceRecommendationsJob` `iam:PassRole` Izin berikut hanya diperlukan jika Anda menentukan kunci enkripsi: `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` | `arn:aws:sagemaker:region:account-id:inference-recommendations-job/inferenceRecommendationsJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) | `sagemaker:CreateHyperParameterTuningJob` `iam:PassRole` Izin berikut hanya diperlukan jika salah satu yang terkait `ResourceConfig` memiliki peran tertentu `VolumeKmsKeyId ` dan peran terkait tidak memiliki kebijakan yang mengizinkan tindakan ini: `kms:CreateGrant` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html) | `sagemaker:CreateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html) | `sagemaker:CreateImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html) | pembuat sagemaker: CreateLabelingJob saya: PassRole | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) | `sagemaker:CreateModel` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html) | `sagemaker:CreateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html) | `sagemaker:CreateModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) | `sagemaker:CreateNotebookInstance` `iam:PassRole` Izin berikut hanya diperlukan jika Anda menentukan VPC untuk instance notebook Anda: `ec2:CreateNetworkInterface` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Izin berikut hanya diperlukan jika Anda menentukan kunci enkripsi: `kms:DescribeKey` `kms:CreateGrant` Izin berikut hanya diperlukan jika Anda menentukan AWS rahasia Secrets Manager untuk mengakses repositori Git pribadi: `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html) | `sagemaker:CreatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html) | `sagemaker:CreatePresignedDomainUrl` | `arn:aws:sagemaker:region:account-id:app/domain-id/userProfileName`/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) | `sagemaker:CreatePresignedNotebookInstanceUrl` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) | `sagemaker:CreateProcessingJob` `iam:PassRole` `kms:CreateGrant`(diperlukan hanya jika yang terkait `ProcessingResources` memiliki peran tertentu `VolumeKmsKeyId` dan peran terkait tidak memiliki kebijakan yang mengizinkan tindakan ini) `ec2:CreateNetworkInterface`(diperlukan hanya jika Anda menentukan VPC) | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| `[ CreateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateSpace.html)` | `sagemaker:CreateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html) | `sagemaker:CreateStudioLifecycleConfig` | `arn:aws:sagemaker:region:account-id:studio-lifecycle-config/.*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) | `sagemaker:CreateTrainingJob` `iam:PassRole` `kms:CreateGrant`(diperlukan hanya jika yang terkait `ResourceConfig` memiliki peran tertentu `VolumeKmsKeyId` dan peran terkait tidak memiliki kebijakan yang mengizinkan tindakan ini) | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html) | `sagemaker:CreateTrainingPlan` `sagemaker:CreateReservedCapacity` `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:training-plan/*"` `arn:aws:sagemaker:region:account-id:reserved-capacity/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html) | `sagemaker:CreateTransformJob` `kms:CreateGrant`(diperlukan hanya jika yang terkait `TransformResources` memiliki peran tertentu `VolumeKmsKeyId` dan peran terkait tidak memiliki kebijakan yang mengizinkan tindakan ini) | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) | `sagemaker:CreateUserProfile` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) | `sagemaker:CreateWorkforce` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | arn:aws:sagemaker:region:account-id:workforce/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html) | `sagemaker:CreateWorkteam` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/work team name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html) | `sagemaker:DeleteApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html) | `sagemaker:DeleteAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html) | `sagemaker:DeleteDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html) | `sagemaker:DeleteEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html) | `sagemaker:DeleteEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html) | `sagemaker:DeleteFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DeleteHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DeleteHumanLoop.html)` | `sagemaker:DeleteHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html) | `sagemaker:DeleteImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html) | `sagemaker:DeleteImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html) | `sagemaker:DeleteModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html) | `sagemaker:DeleteModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html) | `sagemaker:DeleteModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html) | `sagemaker:DeleteModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html) | `sagemaker:DeleteNotebookInstance` Izin berikut hanya diperlukan jika Anda menetapkan VPC untuk instance notebook Anda: `ec2:DeleteNetworkInterface` Izin berikut hanya diperlukan jika Anda menetapkan kunci enkripsi saat membuat instance notebook: `kms:DescribeKey` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html) | `sagemaker:DeletePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[DeleteSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteSpace.html)` | `sagemaker:DeleteSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html) | `sagemaker:DeleteTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html) | `sagemaker:DeleteUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) | `sagemaker:DeleteWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html) | `sagemaker:DeleteWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html) | `sagemaker:DescribeApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html) | `sagemaker:DescribeAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html) | `sagemaker:DescribeAutoMLJob` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html) | `sagemaker:DescribeAutoMLJobV2` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html) | `sagemaker:DescribeDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html) | `sagemaker:DescribeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html) | `sagemaker:DescribeEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html) | `sagemaker:DescribeFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DescribeHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DescribeHumanLoop.html)` | `sagemaker:DescribeHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html) | `sagemaker:DescribeHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html) | `sagemaker:DescribeHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html) | `sagemaker:DescribeImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html) | `sagemaker:DescribeImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html) | `sagemaker:DescribeLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html) | `sagemaker:DescribeModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html) | `sagemaker:DescribeModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html) | `sagemaker:DescribeModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) | `sagemaker:DescribeNotebookInstance ` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html) | `sagemaker:DescribePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html) | `sagemaker:DescribePipelineDefinitionForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html) | `sagemaker:DescribePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html) | `sagemaker:DescribeProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingjobname` |
| `[DescribeSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSpace.html)` | `sagemaker:DescribeSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html) | `sagemaker:DescribeSubscribedWorkteam` `aws-marketplace:ViewSubscriptions` | `arn:aws:sagemaker:region:account-id:workteam/vendor-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html) | `sagemaker:DescribeTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html) | `sagemaker:DescribeTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html) | `sagemaker:DescribeUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) | `sagemaker:DescribeWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html) | `sagemaker:DescribeWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html) | `sagemaker:GetModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html) | `sagemaker:InvokeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html) | `sagemaker:ListAppImageConfigs` | `arn:aws:sagemaker:region:account-id:app-image-config/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html) | `sagemaker:ListApps` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html) | `sagemaker:ListDomains` | `arn:aws:sagemaker:region:account-id:domain/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html) | `sagemaker:ListEndpointConfigs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html) | `sagemaker:ListEndpoints` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html) | `sagemaker:ListFlowDefinitions` | `*` |
| `[ListHumanLoops](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_ListHumanLoops.html)` | `sagemaker:ListHumanLoops` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html) | `sagemaker:ListHumanTaskUis` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html) | `sagemaker:ListHyperParameterTuningJobs` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html) | `sagemaker:ListImages` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html) | `sagemaker:ListImageVersions` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html) | `sagemaker:ListLabelingJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html) | `sagemaker:ListLabelingJobForWorkteam` | `*` |
| `[ ListModelPackageGroups](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackageGroups.html)` | `sagemaker:ListModelPackageGroups` | `arn:aws:sagemaker:region:account-id :model-package-group/ModelPackageGroupName` |
| `[ ListModelPackages](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackages.html)` | `sagemaker:ListModelPackages` | `arn:aws:sagemaker:region:account-id :model-package/ModelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html) | `sagemaker:ListModels` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html) | `sagemaker:ListNotebookInstances` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html) | `sagemaker:ListPipelineExecutions` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html) | `sagemaker:ListPipelineExecutionSteps` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html) | `sagemaker:ListPipelineParametersForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html) | `sagemaker:ListPipelines` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html) | `sagemaker:ListProcessingJobs` | `*` |
| `[ListSpaces](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSpaces.html)` | `sagemaker:ListSpaces` | `arn:aws:sagemaker:region:account-id:space/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html) | `sagemaker:ListSubscribedWorkteams` `aws-marketplace:ViewSubscriptions` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html) | `sagemaker:ListTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html) | `sagemaker:ListTrainingJobs` | `*` |
| `[ ListTrainingJobsForHyperParameterTuningJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobsForHyperParameterTuningJob.html)` | `sagemaker:ListTrainingJobsForHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html) | `sagemaker:ListTransformJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html) | `sagemaker:ListUserProfiles` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html) | `sagemaker:ListWorkforces` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html) | `sagemaker:ListWorkteams` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html) | `sagemaker:PutModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html) | `sagemaker:RetryPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) | `sagemaker:Search` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html) | `sagemaker:SendPipelineExecutionStepFailure` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html) | `sagemaker:SendPipelineExecutionStepSuccess` | `*` |
| `[StartHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StartHumanLoop.html)` | `sagemaker:StartHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html) | `sagemaker:StartNotebookInstance` Izin berikut hanya diperlukan jika Anda menetapkan VPC saat membuat instance notebook: `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Izin berikut hanya diperlukan jika Anda menetapkan kunci enkripsi saat membuat instance notebook: `kms:DescribeKey` `kms:CreateGrant` Izin berikut hanya diperlukan jika Anda menetapkan AWS rahasia Secrets Manager untuk mengakses repositori Git pribadi saat Anda membuat instance notebook: `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html) | `sagemaker:StartPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[StopHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StopHumanLoop.html)` | `sagemaker:StopHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html) | `sagemaker:StopHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html) | `sagemaker:StopLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html) | `sagemaker:StopNotebookInstance` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html) | `sagemaker:StopPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html) | `sagemaker:StopProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html) | `sagemaker:StopTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html) | `sagemaker:StopTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html) | `sagemaker:UpdateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) | `sagemaker:UpdateDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html) | `sagemaker:UpdateEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html) | `sagemaker:UpdateEndpointWeightsAndCapacities` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) | `sagemaker:UpdateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html) | `sagemaker:UpdateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html) | `sagemaker:UpdateNotebookInstance` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html) | `sagemaker:UpdatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html) | `sagemaker:UpdatePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| `[UpdateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateSpace.html)` | `sagemaker:UpdateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html) | `sagemaker:UpdateUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) | `sagemaker:UpdateWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) | `sagemaker:UpdateWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
# AWS kebijakan terkelola untuk Amazon SageMaker AI
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini memengaruhi semua identitas (pengguna, grup, dan peran) tempat kebijakan dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan `ReadOnlyAccess` AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
**penting**
Kami menyarankan Anda menggunakan kebijakan paling terbatas yang memungkinkan Anda untuk melakukan kasus penggunaan Anda.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Memberikan akses penuh ke sumber daya geospasial Amazon SageMaker SageMaker AI dan AI serta operasi yang didukung. Ini tidak menyediakan akses Amazon S3 yang tidak terbatas, tetapi mendukung bucket dan objek dengan tag tertentu. `sagemaker` Kebijakan ini memungkinkan semua peran IAM diteruskan ke Amazon SageMaker AI, tetapi hanya memungkinkan peran IAM dengan "AmazonSageMaker" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan.
+ **`AmazonSageMakerReadOnly`**— Memberikan akses hanya-baca ke sumber daya Amazon SageMaker AI.
Kebijakan AWS terkelola berikut dapat dilampirkan ke pengguna di akun Anda tetapi tidak disarankan:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator)— Memberikan semua tindakan untuk semua AWS layanan dan untuk semua sumber daya di akun.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist)Memberikan berbagai izin untuk mencakup sebagian besar kasus penggunaan (terutama untuk analitik dan intelijen bisnis) yang dihadapi oleh ilmuwan data.
Anda dapat meninjau kebijakan izin ini dengan masuk ke konsol IAM dan mencarinya.
Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin untuk tindakan dan sumber daya Amazon SageMaker AI saat Anda membutuhkannya. Anda dapat melampirkan kebijakan khusus ini ke pengguna atau grup yang memerlukannya.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS kebijakan terkelola untuk Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS kebijakan terkelola untuk Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS kebijakan terkelola untuk SageMaker geospasial Amazon](security-iam-awsmanpol-geospatial.md)
+ [AWS Kebijakan Terkelola untuk Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS kebijakan terkelola untuk Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Kebijakan Terkelola untuk Tata Kelola Model SageMaker AI](security-iam-awsmanpol-governance.md)
+ [AWS Kebijakan Terkelola untuk Registri Model](security-iam-awsmanpol-model-registry.md)
+ [AWS Kebijakan Terkelola untuk SageMaker Notebook](security-iam-awsmanpol-notebooks.md)
+ [AWS kebijakan terkelola untuk Aplikasi AI SageMaker Mitra Amazon](security-iam-awsmanpol-partner-apps.md)
+ [AWS Kebijakan Terkelola untuk SageMaker Saluran Pipa](security-iam-awsmanpol-pipelines.md)
+ [AWS kebijakan terkelola untuk rencana SageMaker pelatihan](security-iam-awsmanpol-training-plan.md)
+ [AWS Kebijakan Terkelola untuk SageMaker Proyek dan JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker Pembaruan AI untuk Kebijakan AWS Terkelola](#security-iam-awsmanpol-updates)
## AWS kebijakan terkelola: AmazonSageMakerFullAccess
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua sumber daya dan operasi geospasial Amazon SageMaker SageMaker AI dan AI. Kebijakan ini juga menyediakan akses terpilih ke layanan terkait. Kebijakan ini memungkinkan semua peran IAM diteruskan ke Amazon SageMaker AI, tetapi hanya memungkinkan peran IAM dengan "AmazonSageMaker" di dalamnya diteruskan ke AWS Glue, AWS Step Functions, dan AWS RoboMaker layanan. Kebijakan ini tidak menyertakan izin untuk membuat domain Amazon SageMaker AI. Untuk informasi tentang kebijakan yang diperlukan untuk membuat domain, lihat[Lengkapi prasyarat Amazon SageMaker AI](gs-set-up.md).
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `application-autoscaling`— Memungkinkan kepala sekolah untuk secara otomatis menskalakan titik akhir inferensi real-time SageMaker AI.
+ `athena`— Memungkinkan prinsipal untuk menanyakan daftar katalog data, database, dan metadata tabel dari. Amazon Athena
+ `aws-marketplace`— Memungkinkan kepala sekolah untuk melihat langganan AI AWS Marketplace. Anda memerlukan ini jika Anda ingin mengakses perangkat lunak SageMaker AI yang berlangganan. AWS Marketplace
+ `cloudformation`— Memungkinkan kepala sekolah untuk mendapatkan AWS CloudFormation template untuk menggunakan JumpStart solusi SageMaker AI dan Pipelines. SageMaker AI JumpStart menciptakan sumber daya yang diperlukan untuk menjalankan solusi pembelajaran end-to-end mesin yang mengikat SageMaker AI dengan AWS layanan lain. SageMaker AI Pipelines menciptakan proyek baru yang didukung oleh Service Catalog.
+ `cloudwatch`— Memungkinkan kepala sekolah untuk memposting CloudWatch metrik, berinteraksi dengan alarm, dan mengunggah log ke CloudWatch Log di akun Anda.
+ `codebuild`— Memungkinkan kepala sekolah menyimpan AWS CodeBuild artefak untuk Pipeline dan Proyek SageMaker AI.
+ `codecommit`— Diperlukan untuk AWS CodeCommit integrasi dengan instance notebook SageMaker AI.
+ `cognito-idp`— Diperlukan untuk Amazon SageMaker Ground Truth untuk mendefinisikan tenaga kerja pribadi dan tim kerja.
+ `ec2`— Diperlukan SageMaker AI untuk mengelola sumber daya Amazon EC2 dan antarmuka jaringan saat Anda menentukan VPC Amazon untuk pekerjaan, model, titik akhir, dan instans notebook SageMaker AI Anda.
+ `ecr`— Diperlukan untuk menarik dan menyimpan artefak Docker untuk Amazon SageMaker Studio Classic (gambar khusus), pelatihan, pemrosesan, inferensi batch, dan titik akhir inferensi. Ini juga diperlukan untuk menggunakan wadah Anda sendiri di SageMaker AI. Izin tambahan untuk JumpStart solusi SageMaker AI diperlukan untuk membuat dan menghapus gambar khusus atas nama pengguna.
+ `elasticfilesystem`— Memungkinkan kepala sekolah mengakses Amazon Elastic File System. Ini diperlukan agar SageMaker AI dapat menggunakan sumber data di Amazon Elastic File System untuk melatih model pembelajaran mesin.
+ `fsx`— Memungkinkan kepala sekolah untuk mengakses Amazon. FSx Ini diperlukan agar SageMaker AI dapat menggunakan sumber data di Amazon FSx untuk melatih model pembelajaran mesin.
+ `glue`— Diperlukan untuk pra-pemrosesan pipa inferensi dari dalam instance notebook SageMaker AI.
+ `groundtruthlabeling`— Diperlukan untuk pekerjaan pelabelan Ground Truth. `groundtruthlabeling`Titik akhir diakses oleh konsol Ground Truth.
+ `iam`— Diperlukan untuk memberikan akses konsol SageMaker AI ke peran IAM yang tersedia dan membuat peran terkait layanan.
+ `kms`— Diperlukan untuk memberikan akses konsol SageMaker AI ke AWS KMS kunci yang tersedia dan mengambilnya untuk AWS KMS alias tertentu dalam pekerjaan dan titik akhir.
+ `lambda`— Memungkinkan kepala sekolah untuk memanggil dan mendapatkan daftar fungsi. AWS Lambda
+ `logs`— Diperlukan untuk memungkinkan pekerjaan SageMaker AI dan titik akhir untuk mempublikasikan aliran log.
+ `redshift`— Memungkinkan kepala sekolah mengakses kredenal cluster Amazon Redshift.
+ `redshift-data`— Memungkinkan prinsipal menggunakan data dari Amazon Redshift untuk menjalankan, mendeskripsikan, dan membatalkan pernyataan; mendapatkan hasil pernyataan; dan daftar skema dan tabel.
+ `robomaker`— Memungkinkan kepala sekolah memiliki akses penuh untuk membuat, mendapatkan deskripsi, dan menghapus aplikasi dan pekerjaan AWS RoboMaker simulasi. Ini juga diperlukan untuk menjalankan contoh pembelajaran penguatan pada instance notebook.
+ `s3, s3express`— Memungkinkan kepala sekolah memiliki akses penuh ke sumber daya Amazon S3 dan Amazon S3 Express yang berkaitan dengan SageMaker AI, tetapi tidak semua Amazon S3 atau Amazon S3 Express.
+ `sagemaker`— Memungkinkan kepala sekolah untuk mencantumkan tag pada profil pengguna SageMaker AI, dan menambahkan tag ke aplikasi dan spasi SageMaker AI. Mengizinkan akses hanya ke definisi aliran SageMaker AI dari sagemaker: WorkteamType “private-crowd” atau “vendor-crowd”. Memungkinkan penggunaan dan deskripsi rencana pelatihan SageMaker AI dan kapasitas cadangan dalam pekerjaan SageMaker pelatihan, dan SageMaker HyperPod cluster, di semua AWS Wilayah di mana fitur rencana pelatihan dapat diakses.
+ `sagemaker`dan `sagemaker-geospatial` — Memungkinkan akses hanya-baca kepala sekolah ke domain SageMaker AI dan profil pengguna.
+ `secretsmanager`— Memungkinkan kepala sekolah untuk memiliki akses penuh ke. AWS Secrets Manager Prinsipal dapat dengan aman mengenkripsi, menyimpan, dan mengambil kredensi untuk database dan layanan lainnya. Ini juga diperlukan untuk instance notebook SageMaker AI dengan repositori kode SageMaker AI yang digunakan. GitHub
+ `servicecatalog`— Memungkinkan kepala sekolah untuk menggunakan Service Catalog. Prinsipal dapat membuat, mendapatkan daftar, memperbarui, atau menghentikan produk yang disediakan, seperti server, database, situs web, atau aplikasi yang digunakan menggunakan sumber daya. AWS Ini diperlukan untuk SageMaker AI JumpStart dan Proyek untuk menemukan dan membaca produk katalog layanan dan meluncurkan AWS sumber daya pada pengguna.
+ `sns`— Memungkinkan kepala sekolah untuk mendapatkan daftar topik Amazon SNS. Ini diperlukan untuk titik akhir dengan Inferensi Async diaktifkan untuk memberi tahu pengguna bahwa inferensi mereka telah selesai.
+ `states`— Diperlukan SageMaker AI JumpStart dan Pipelines untuk menggunakan katalog layanan untuk membuat sumber daya fungsi langkah.
+ `tag`- Diperlukan untuk SageMaker AI Pipelines untuk dirender di Studio Classic. Studio Classic membutuhkan sumber daya yang ditandai dengan kunci `sagemaker:project-id` tag tertentu. Ini membutuhkan `tag:GetResources` izin.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerReadOnly
Kebijakan ini memberikan akses hanya-baca ke Amazon SageMaker AI melalui dan SDK Konsol Manajemen AWS .
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `application-autoscaling`— Memungkinkan pengguna untuk menelusuri deskripsi titik akhir inferensi real-time SageMaker AI yang dapat diskalakan.
+ `aws-marketplace`— Memungkinkan pengguna untuk melihat langganan AWS AI Marketplace.
+ `cloudwatch`— Memungkinkan pengguna untuk menerima CloudWatch alarm.
+ `cognito-idp`— Diperlukan untuk Amazon SageMaker Ground Truth untuk menelusuri deskripsi dan daftar tenaga kerja pribadi dan tim kerja.
+ `ecr`— Diperlukan untuk membaca artefak Docker untuk pelatihan dan inferensi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS kebijakan terkelola untuk Amazon SageMaker Canvas
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Amazon SageMaker Canvas. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerCanvas AIServices Akses](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerCanvas SMData ScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Amazon SageMaker AI memperbarui kebijakan terkelola Amazon SageMaker Canvas](#security-iam-awsmanpol-canvas-updates)
## AWS kebijakan terkelola: AmazonSageMakerCanvasFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke Amazon SageMaker Canvas melalui Konsol Manajemen AWS dan SDK. Kebijakan ini juga menyediakan akses pilih ke layanan terkait [misalnya, Amazon Simple Storage Service (Amazon S3), (IAM), Amazon Virtual Private Cloud (Amazon VPC) AWS Identity and Access Management , Amazon Elastic Container Registry (Amazon ECR), Amazon Elastic Container Registry (Amazon ECR), Amazon CloudWatch Logs, Amazon Redshift, Amazon Autopilot, Registry Model, dan Amazon AWS Secrets Manager Forecast]. SageMaker SageMaker
Kebijakan ini dimaksudkan untuk membantu pelanggan bereksperimen dan memulai dengan semua kemampuan SageMaker Canvas. Untuk kontrol yang lebih halus, kami menyarankan pelanggan membuat versi cakupan mereka sendiri saat mereka beralih ke beban kerja produksi. Untuk informasi selengkapnya, lihat [Jenis kebijakan IAM: Bagaimana dan kapan menggunakannya.](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/)
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker`— Memungkinkan kepala sekolah untuk membuat dan meng-host model SageMaker AI pada sumber daya yang ARN-nya berisi “Kanvas”, “kanvas”, atau “model-kompilasi-”. Selain itu, pengguna dapat mendaftarkan model SageMaker Canvas mereka ke SageMaker AI Model Registry di AWS akun yang sama. Juga memungkinkan kepala sekolah untuk membuat dan mengelola SageMaker pelatihan, transformasi, dan pekerjaan AutoML.
+ `application-autoscaling`— Memungkinkan kepala sekolah untuk secara otomatis menskalakan titik akhir inferensi SageMaker AI.
+ `athena`— Memungkinkan kepala sekolah untuk menanyakan daftar katalog data, database, dan metadata tabel dari Amazon Athena, dan mengakses tabel dalam katalog.
+ `cloudwatch`— Memungkinkan kepala sekolah untuk membuat dan mengelola alarm Amazon. CloudWatch
+ `ec2`— Memungkinkan prinsipal untuk membuat titik akhir Amazon VPC.
+ `ecr`— Memungkinkan kepala sekolah untuk mendapatkan informasi tentang gambar kontainer.
+ `emr-serverless`— Memungkinkan kepala sekolah untuk membuat dan mengelola aplikasi Amazon EMR Tanpa Server dan menjalankan pekerjaan. Juga memungkinkan prinsipal untuk menandai SageMaker sumber daya Canvas.
+ `forecast`— Memungkinkan prinsipal untuk menggunakan Amazon Forecast.
+ `glue`— Memungkinkan prinsipal untuk mengambil tabel, database, dan partisi dalam katalog. AWS Glue
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon AI, Amazon Forecast, dan Amazon EMR Tanpa Server. SageMaker Juga memungkinkan kepala sekolah untuk membuat peran terkait layanan.
+ `kms`— Memungkinkan kepala sekolah untuk membaca AWS KMS kunci yang ditandai dengan. `Source:SageMakerCanvas`
+ `logs`— Memungkinkan kepala sekolah untuk mempublikasikan log dari pekerjaan pelatihan dan titik akhir.
+ `quicksight`— Memungkinkan kepala sekolah untuk membuat daftar ruang nama di akun Cepat.
+ `rds`— Memungkinkan kepala sekolah mengembalikan informasi tentang instans Amazon RDS yang disediakan.
+ `redshift`— Memungkinkan prinsipal untuk mendapatkan kredensil untuk dbuser “sagemaker\$1access\$1” di klaster Amazon Redshift mana pun jika pengguna itu ada.
+ `redshift-data`— Memungkinkan prinsipal menjalankan kueri di Amazon Redshift menggunakan Amazon Redshift Data API. Ini hanya menyediakan akses ke Data Redshift itu APIs sendiri dan tidak secara langsung menyediakan akses ke cluster Amazon Redshift Anda. Untuk informasi selengkapnya, lihat [Menggunakan Amazon Redshift Data API](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”. Juga memungkinkan prinsipal untuk mengambil objek dari ember Amazon S3 yang ARN-nya dimulai dengan "-” di wilayah tertentu. jumpstart-cache-prod
+ `secretsmanager`— Memungkinkan kepala sekolah untuk menyimpan kredensil pelanggan untuk terhubung ke database Snowflake menggunakan Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS kebijakan terkelola: AmazonSageMakerCanvasDataPrepFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke fungsionalitas persiapan data Amazon SageMaker Canvas. Kebijakan ini juga memberikan izin hak istimewa paling sedikit untuk layanan yang terintegrasi dengan fungsionalitas persiapan data [misalnya, Amazon Simple Storage Service (Amazon S3) Service, (IAM), Amazon EMR, Amazon, Amazon Redshift, AWS Identity and Access Management () dan]. EventBridge AWS Key Management Service AWS KMS AWS Secrets Manager
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker`— Memungkinkan kepala sekolah untuk mengakses pekerjaan pemrosesan, pekerjaan pelatihan, saluran inferensi, pekerjaan AutoML, dan grup fitur.
+ `athena`— Memungkinkan kepala sekolah untuk menanyakan daftar katalog data, database, dan metadata tabel dari Amazon Athena.
+ `elasticmapreduce`— Memungkinkan kepala sekolah untuk membaca dan membuat daftar cluster EMR Amazon.
+ `emr-serverless`— Memungkinkan kepala sekolah untuk membuat dan mengelola aplikasi Amazon EMR Tanpa Server dan menjalankan pekerjaan. Juga memungkinkan prinsipal untuk menandai SageMaker sumber daya Canvas.
+ `events`— Memungkinkan kepala sekolah untuk membuat, membaca, memperbarui, dan menambahkan target ke EventBridge aturan Amazon untuk pekerjaan terjadwal.
+ `glue`— Memungkinkan kepala sekolah untuk mendapatkan dan mencari tabel dari database dalam katalog. AWS Glue
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon SageMaker AI,, dan Amazon EMR Tanpa EventBridge Server. Juga memungkinkan kepala sekolah untuk membuat peran terkait layanan.
+ `kms`— Memungkinkan prinsipal untuk mengambil AWS KMS alias yang disimpan dalam pekerjaan dan titik akhir, dan mengakses kunci KMS terkait.
+ `logs`— Memungkinkan kepala sekolah untuk mempublikasikan log dari pekerjaan pelatihan dan titik akhir.
+ `redshift`— Memungkinkan kepala sekolah untuk mendapatkan kredensyal untuk mengakses database Amazon Redshift.
+ `redshift-data`— Memungkinkan prinsipal untuk menjalankan, membatalkan, mendeskripsikan, membuat daftar, dan mendapatkan hasil kueri Amazon Redshift. Juga memungkinkan kepala sekolah untuk membuat daftar skema dan tabel Amazon Redshift.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”; atau ditandai dengan "“, case-insensitive. SageMaker
+ `secretsmanager`— Memungkinkan kepala sekolah untuk menyimpan dan mengambil kredensil basis data pelanggan menggunakan Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS kebijakan terkelola: AmazonSageMakerCanvasDirectDeployAccess
Kebijakan ini memberikan izin yang diperlukan Amazon SageMaker Canvas untuk membuat dan mengelola titik akhir Amazon SageMaker AI.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker`— Memungkinkan prinsipal untuk membuat dan mengelola titik akhir SageMaker AI dengan nama sumber daya ARN yang dimulai dengan “Kanvas” atau “kanvas”.
+ `cloudwatch`— Memungkinkan kepala sekolah untuk mengambil data metrik Amazon. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCanvas AIServices Akses
Kebijakan ini memberikan izin kepada Amazon SageMaker Canvas untuk menggunakan Amazon Ttract, Amazon Rekognition, Amazon Comprehend, dan Amazon Bedrock.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `textract`— Memungkinkan kepala sekolah menggunakan Amazon Ttract untuk mendeteksi dokumen, pengeluaran, dan identitas dalam sebuah gambar.
+ `rekognition`— Memungkinkan kepala sekolah menggunakan Amazon Rekognition untuk mendeteksi label dan teks dalam gambar.
+ `comprehend`— Memungkinkan kepala sekolah menggunakan Amazon Comprehend untuk mendeteksi sentimen dan bahasa dominan, dan entitas informasi yang dapat diidentifikasi dan diidentifikasi secara pribadi (PII) dalam dokumen teks.
+ `bedrock`— Memungkinkan kepala sekolah menggunakan Amazon Bedrock untuk membuat daftar dan memanggil model pondasi.
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS kebijakan terkelola: AmazonSageMakerCanvasBedrockAccess
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon SageMaker Canvas dengan Amazon Bedrock.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3 di direktori “Sagemaker-\$1/Canvas”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCanvasForecastAccess
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon SageMaker Canvas dengan Amazon Forecast.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya dimulai dengan “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Kebijakan ini memberikan izin ke Amazon EMR Tanpa Server untuk layanan, AWS seperti Amazon S3, yang digunakan oleh Amazon Canvas untuk pemrosesan data besar. SageMaker
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang namanya termasuk "SageMaker" atau “pembuat sagemaker”; atau ditandai dengan "SageMaker“, tidak peka huruf besar/kecil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Kebijakan ini memberikan izin bagi pengguna di Amazon SageMaker Canvas untuk memulai percakapan dengan Amazon Q Developer. Fitur ini memerlukan izin untuk Amazon Q Developer dan layanan SageMaker AI Data Science Assistant.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `q`— Memungkinkan kepala sekolah untuk mengirim permintaan ke Pengembang Amazon Q.
+ `sagemaker-data-science-assistant`— Memungkinkan kepala sekolah untuk mengirim petunjuk ke layanan SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola Amazon SageMaker Canvas
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk SageMaker Canvas sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - Pembaruan ke kebijakan yang tersedia | 2 | Tambahkan `q:StartConversation` izin. | Januari 14, 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)- Kebijakan baru | 1 | Kebijakan awal | Desember 4, 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) - Pembaruan ke kebijakan yang tersedia | 4 | Tambahkan sumber daya ke `IAMPassOperationForEMRServerless` izin. | Agustus 16, 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) - Pembaruan ke kebijakan yang tersedia | 11 | Tambahkan sumber daya ke `IAMPassOperationForEMRServerless` izin. | Agustus 15, 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)- Kebijakan baru | 1 | Kebijakan awal | Juli 26, 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan`emr-serverless:CreateApplication`,`emr-serverless:ListApplications`,`emr-serverless:UpdateApplication`,`emr-serverless:GetApplication`,`emr-serverless:StartJobRun`,`emr-serverless:ListJobRuns`,`emr-serverless:GetJobRun`,`emr-serverless:CancelJobRun`, dan `emr-serverless:TagResource` izin. | Juli 18, 2024 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 10 | Tambahkan `application-autoscaling:DescribeScalingActivities``iam:PassRole`,`kms:DescribeKey`, dan `quicksight:ListNamespaces` izin. Tambahkan`sagemaker:CreateTrainingJob`,`sagemaker:CreateTransformJob`,`sagemaker:DescribeTrainingJob`,`sagemaker:DescribeTransformJob`,`sagemaker:StopAutoMLJob`,`sagemaker:StopTrainingJob`, dan `sagemaker:StopTransformJob` izin. Tambahkan`athena:ListTableMetadata`,`athena:ListDataCatalogs`, dan `athena:ListDatabases` izin. Tambahkan`glue:GetDatabases`,`glue:GetPartitions`, dan `glue:GetTables` izin. Tambahkan`emr-serverless:CreateApplication`,`emr-serverless:ListApplications`,`emr-serverless:UpdateApplication`,`emr-serverless:StopApplication`,`emr-serverless:GetApplication`,`emr-serverless:StartApplication`,,`emr-serverless:StartJobRun`,`emr-serverless:ListJobRuns`,`emr-serverless:GetJobRun`,`emr-serverless:CancelJobRun`, dan `emr-serverless:TagResource` izin. | 9 Juli 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)- Kebijakan baru | 1 | Kebijakan awal | Februari 2, 2024 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 9 | Tambahkan `sagemaker:ListEndpoints` izin. | Januari 24, 2024 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 8 | Tambahkan`sagemaker:UpdateEndpointWeightsAndCapacities`,`sagemaker:DescribeEndpointConfig`,`sagemaker:InvokeEndpointAsync`,`athena:ListDataCatalogs`,`athena:GetQueryExecution`,`athena:GetQueryResults`,`athena:StartQueryExecution`,,`athena:StopQueryExecution`,`athena:ListDatabases`,`cloudwatch:DescribeAlarms`,`cloudwatch:PutMetricAlarm`,`cloudwatch:DeleteAlarms`, dan `iam:CreateServiceLinkedRole` izin. | 8 Desember 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Pembaruan ke kebijakan yang tersedia | 2 | Pembaruan kecil untuk menegakkan maksud kebijakan sebelumnya, versi 1; tidak ada izin yang ditambahkan atau dihapus. | Desember 7, 2023 |
| [AmazonSageMakerCanvasAIServicesAkses](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan`bedrock:InvokeModelWithResponseStream`,`bedrock:GetModelCustomizationJob`,`bedrock:StopModelCustomizationJob`,`bedrock:GetCustomModel`,`bedrock:GetProvisionedModelThroughput`,`bedrock:DeleteProvisionedModelThroughput`,`bedrock:TagResource`,`bedrock:CreateModelCustomizationJob`,`bedrock:CreateProvisionedModelThroughput`, dan `iam:PassRole` izin. | November 29, 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Kebijakan baru | 1 | Kebijakan awal | 26 Oktober 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)- Kebijakan baru | 1 | Kebijakan awal | Oktober 6, 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 7 | Tambahkan`sagemaker:DeleteEndpointConfig`,`sagemaker:DeleteModel`, dan `sagemaker:InvokeEndpoint` izin. Juga tambahkan `s3:GetObject` izin untuk JumpStart sumber daya di wilayah tertentu. | September 29, 2023 |
| AmazonSageMakerCanvasAIServicesAkses - Perbarui ke kebijakan yang ada | 2 | Tambahkan `bedrock:InvokeModel` dan `bedrock:ListFoundationModels` izin. | September 29, 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 6 | Tambahkan `rds:DescribeDBInstances` izin. | 29 Agustus 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 5 | Tambahkan `application-autoscaling:PutScalingPolicy` dan `application-autoscaling:RegisterScalableTarget` izin. | Juli 24, 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 4 | Tambahkan`sagemaker:CreateModelPackage`,`sagemaker:CreateModelPackageGroup`,`sagemaker:DescribeModelPackage`,`sagemaker:DescribeModelPackageGroup`,`sagemaker:ListModelPackages`, dan `sagemaker:ListModelPackageGroups` izin. | 4 Mei 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 3 | Tambahkan`sagemaker:CreateAutoMLJobV2`,`sagemaker:DescribeAutoMLJobV2`, dan `glue:SearchTables` izin. | 24 Maret 2023 |
| AmazonSageMakerCanvasAIServicesAkses - Kebijakan baru | 1 | Kebijakan awal | Maret 23, 2023 |
| AmazonSageMakerCanvasFullAccess - Perbarui ke kebijakan yang ada | 2 | Tambahkan `forecast:DeleteResourceTree` izin. | 6 Desember 2022 |
| AmazonSageMakerCanvasFullAccess - Kebijakan baru | 1 | Kebijakan awal | 8 September 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)- Kebijakan baru | 1 | Kebijakan awal | Agustus 24, 2022 |
# AWS kebijakan terkelola untuk Amazon SageMaker Feature Store
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Toko Fitur. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Amazon SageMaker AI memperbarui kebijakan terkelola Amazon SageMaker Feature Store](#security-iam-awsmanpol-feature-store-updates)
## AWS kebijakan terkelola: AmazonSageMakerFeatureStoreAccess
Kebijakan ini memberikan izin yang diperlukan untuk mengaktifkan toko offline untuk grup SageMaker fitur Amazon Feature Store.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan kepala sekolah untuk menulis data ke toko offline Amazon S3 bucket. Ember ini terbatas pada mereka yang namanya termasuk "SageMaker“, “Sagemaker”, atau “sagemaker”.
+ `s3`— Memungkinkan prinsipal membaca file manifes yang ada yang disimpan di `metadata` folder bucket S3 toko offline.
+ `glue`— Memungkinkan kepala sekolah untuk membaca dan memperbarui tabel Glue AWS . Izin ini terbatas pada tabel di `sagemaker_featurestore` folder.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola Amazon SageMaker Feature Store
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Toko Fitur sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan`s3:GetObject`,`glue:GetTable`, dan `glue:UpdateTable` izin. | Desember 5, 2022 |
| AmazonSageMakerFeatureStoreAccess - Perbarui ke kebijakan yang ada | 2 | Tambahkan `s3:PutObjectAcl` izin. | 23 Februari 2021 |
| AmazonSageMakerFeatureStoreAccess - Kebijakan baru | 1 | Kebijakan awal | 1 Desember 2020 |
# AWS kebijakan terkelola untuk SageMaker geospasial Amazon
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan SageMaker geospasial. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker geospasial Amazon](#security-iam-awsmanpol-geospatial-updates)
## AWS kebijakan terkelola: AmazonSageMakerGeospatialFullAccess
Kebijakan ini memberikan izin yang memungkinkan akses penuh ke SageMaker geospasial Amazon melalui dan SDK Konsol Manajemen AWS .
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker-geospatial`— Memungkinkan kepala sekolah akses penuh ke semua SageMaker sumber daya geospasial.
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran IAM ke geospasial. SageMaker
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerGeospatialExecutionRole
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan SageMaker geospasial.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Benda-benda ini terbatas pada mereka yang namanya mengandung "SageMaker“, “Sagemaker”, atau “sagemaker”.
+ `sagemaker-geospatial`— Memungkinkan kepala sekolah untuk mengakses pekerjaan pengamatan Bumi melalui API. `GetEarthObservationJob`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker geospasial Amazon
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk SageMaker geospasial sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)- Kebijakan yang diperbarui | 2 | Tambahkan `sagemaker-geospatial:GetRasterDataCollection` izin. | 10 Mei 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)- Kebijakan baru | 1 | Kebijakan awal | 30 November 2022 |
| AmazonSageMakerGeospatialExecutionRole - Kebijakan baru | 1 | Kebijakan awal | 30 November 2022 |
# AWS Kebijakan Terkelola untuk Amazon SageMaker Ground Truth
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan SageMaker AI Ground Truth. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Ground Truth](#security-iam-awsmanpol-groundtruth-updates)
## AWS kebijakan terkelola: AmazonSageMakerGroundTruthExecution
Kebijakan AWS terkelola ini memberikan izin yang biasanya diperlukan untuk menggunakan SageMaker AI Ground Truth.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `lambda`— Memungkinkan kepala sekolah untuk memanggil fungsi Lambda yang namanya mencakup “sagemaker” (case-insensitive), "“, atau"”. GtRecipe LabelingFunction
+ `s3`— Memungkinkan prinsipal untuk menambahkan dan mengambil objek dari ember Amazon S3. Objek-objek ini terbatas pada mereka yang nama case-insensitive mengandung “groundtruth” atau “sagemaker”, atau ditandai dengan "”. SageMaker
+ `cloudwatch`— Memungkinkan kepala sekolah untuk memposting metrik. CloudWatch
+ `logs`— Memungkinkan kepala sekolah untuk membuat dan mengakses aliran log, dan memposting peristiwa log.
+ `sqs`— Memungkinkan kepala sekolah untuk membuat antrian Amazon SQS, dan mengirim serta menerima pesan Amazon SQS. Izin ini terbatas pada antrian yang namanya termasuk "”. GroundTruth
+ `sns`— Memungkinkan kepala sekolah untuk berlangganan dan mempublikasikan pesan ke topik Amazon SNS yang namanya tidak peka huruf besar/kecil berisi “groundtruth” atau “sagemaker”.
+ `ec2`— Memungkinkan prinsipal untuk membuat, mendeskripsikan, dan menghapus titik akhir VPC Amazon VPC yang nama layanan titik akhir VPCnya berisi "" atau “pelabelan”. sagemaker-task-resources
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Ground Truth
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI Ground Truth sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan`ec2:CreateVpcEndpoint`,`ec2:DescribeVpcEndpoints`, dan `ec2:DeleteVpcEndpoints` izin. | 29 April 2022 |
| AmazonSageMakerGroundTruthExecution - Perbarui ke kebijakan yang ada | 2 | Hapus `sqs:SendMessageBatch` izin. | April 11, 2022 |
| AmazonSageMakerGroundTruthExecution - Kebijakan baru | 1 | Kebijakan awal | 20 Juli 2020 |
# AWS kebijakan terkelola untuk Amazon SageMaker HyperPod
Kebijakan AWS terkelola berikut menambahkan izin yang diperlukan untuk menggunakan Amazon SageMaker HyperPod. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI atau peran HyperPod terkait layanan.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS kebijakan terkelola: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS kebijakan terkelola: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS kebijakan terkelola: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Amazon SageMaker AI memperbarui kebijakan SageMaker HyperPod terkelola](#security-iam-awsmanpol-hyperpod-updates)
# AWS kebijakan terkelola: AmazonSageMakerHyperPodTrainingOperatorAccess
Kebijakan ini memberikan izin administratif yang diperlukan untuk menyiapkan operator SageMaker HyperPod pelatihan. Ini memungkinkan akses ke SageMaker HyperPod dan add-on Amazon EKS. Kebijakan ini mencakup izin untuk menjelaskan SageMaker HyperPod sumber daya di akun Anda.
**Detail izin**
Kebijakan ini mencakup izin berikut:
+ `sagemaker:DescribeClusterNode`- Memungkinkan pengguna untuk mengembalikan informasi tentang HyperPod cluster.
Untuk melihat izin kebijakan ini, lihat [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)di Referensi Kebijakan AWS Terkelola.
# AWS kebijakan terkelola: AmazonSageMakerHyperPodObservabilityAdminAccess
Kebijakan ini memberikan hak administratif yang diperlukan untuk menyiapkan SageMaker HyperPod observabilitas Amazon. Ini memungkinkan akses ke Amazon Managed Service untuk Prometheus, Amazon Managed Grafana dan Amazon Elastic Kubernetes Service add-on. Kebijakan ini juga mencakup akses luas ke Grafana HTTP APIs melalui ServiceAccountTokens seluruh ruang kerja Grafana yang Dikelola Amazon di akun Anda.
**Detail izin**
Daftar berikut memberikan ikhtisar izin yang disertakan dalam kebijakan ini.
+ `prometheus`— Buat dan kelola Amazon Managed Service untuk ruang kerja Prometheus dan grup aturan
+ `grafana`— Membuat dan mengelola ruang kerja dan akun layanan Grafana yang Dikelola Amazon
+ `eks`— Membuat dan mengelola add-on `amazon-sagemaker-hyperpod-observability` Amazon EKS
+ `iam`— Melewati peran layanan IAM tertentu ke Amazon Managed Grafana dan Amazon EKS
+ `sagemaker`— Daftar dan menjelaskan SageMaker HyperPod cluster
+ `sso`— Membuat dan mengelola instans aplikasi IAM Identity Center untuk penyiapan Grafana Terkelola Amazon
+ `tag`— Menandai Layanan Dikelola Amazon untuk Prometheus, Grafana yang Dikelola Amazon, dan sumber daya tambahan Amazon EKS
Untuk melihat kebijakan JSON, lihat [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS kebijakan terkelola: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod membuat dan menggunakan peran terkait layanan yang diberi nama `AWSServiceRoleForSageMakerHyperPod` dengan `AmazonSageMakerHyperPodServiceRolePolicy` melekat pada peran tersebut. Kebijakan ini memberikan SageMaker HyperPod izin Amazon ke AWS layanan terkait seperti Amazon EKS dan Amazon. CloudWatch
Peran terkait layanan membuat pengaturan SageMaker HyperPod lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. SageMaker HyperPod mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya SageMaker HyperPod dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi SageMaker HyperPod sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
`AmazonSageMakerHyperPodServiceRolePolicy`Memungkinkan SageMaker HyperPod untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan atas nama Anda.
**Detail izin**
Kebijakan peran terkait layanan ini mencakup izin berikut.
+ `eks`— Memungkinkan kepala sekolah membaca informasi klaster Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Memungkinkan kepala sekolah untuk mempublikasikan aliran CloudWatch log Amazon ke. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk SageMaker HyperPod
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat SageMaker HyperPod klaster menggunakan konsol SageMaker AI, maka AWS CLI, atau AWS SDKs, akan SageMaker HyperPod membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini tetapi perlu membuatnya lagi, Anda dapat menggunakan proses yang sama (membuat SageMaker HyperPod klaster baru) untuk membuat ulang peran di akun Anda.
## Mengedit peran terkait layanan untuk SageMaker HyperPod
SageMaker HyperPod tidak memungkinkan Anda untuk mengedit peran `AWSServiceRoleForSageMakerHyperPod` terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk SageMaker HyperPod
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
**Untuk menghapus sumber daya SageMaker HyperPod klaster menggunakan peran terkait layanan**
Gunakan salah satu opsi berikut untuk menghapus sumber daya SageMaker HyperPod cluster.
+ [Hapus SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) menggunakan konsol SageMaker AI
+ [Hapus SageMaker HyperPod klaster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) menggunakan AWS CLI
**catatan**
Jika SageMaker HyperPod layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran `AWSServiceRoleForSageMakerHyperPod` terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk SageMaker HyperPod peran terkait layanan
SageMaker HyperPod mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Prasyarat](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html) untuk. SageMaker HyperPod
# AWS kebijakan terkelola: AmazonSageMakerClusterInstanceRolePolicy
Kebijakan ini memberikan izin yang biasanya diperlukan untuk menggunakan Amazon. SageMaker HyperPod
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `cloudwatch`— Memungkinkan kepala sekolah untuk memposting metrik Amazon. CloudWatch
+ `logs`— Memungkinkan kepala sekolah untuk mempublikasikan CloudWatch aliran log.
+ `s3`— Memungkinkan kepala sekolah untuk membuat daftar dan mengambil file skrip siklus hidup dari bucket Amazon S3 di akun Anda. Ember ini terbatas pada mereka yang namanya dimulai dengan “sagemaker-”.
+ `ssmmessages`— Memungkinkan kepala sekolah untuk membuka koneksi ke. AWS Systems Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan SageMaker HyperPod terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola SageMaker HyperPod sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)- Kebijakan baru | 1 | Kebijakan awal | Agustus 22, 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)- Kebijakan yang diperbarui | 2 | Memperbarui kebijakan untuk memperbaiki cakupan peran ke bawah untuk menyertakan awalan. `service-role` Juga menambahkan izin untuk `eks:DeletePodIdentityAssociation` dan `eks:UpdatePodIdentityAssociation` yang diperlukan untuk tindakan end-to-end administratif. | Agustus 19, 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)- Kebijakan baru | 1 | Kebijakan awal | Juli 10, 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)- Kebijakan baru | 1 | Kebijakan awal | September 9, 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)- Kebijakan baru | 1 | Kebijakan awal | November 29, 2023 |
# AWS Kebijakan Terkelola untuk Tata Kelola Model SageMaker AI
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Tata Kelola Model SageMaker AI. Kebijakan ini tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [Amazon SageMaker AI memperbarui kebijakan yang dikelola SageMaker AI Model Governance](#security-iam-awsmanpol-governance-updates)
## AWS kebijakan terkelola: AmazonSageMakerModelGovernanceUseAccess
Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk menggunakan semua fitur Tata Kelola SageMaker AI Amazon. Kebijakan ini tersedia di AWS akun Anda.
Kebijakan ini mencakup izin berikut.
+ `s3`— Ambil objek dari ember Amazon S3. Objek yang dapat diambil terbatas pada objek yang nama case-insensitive berisi string. `"sagemaker"`
+ `kms`— Buat daftar AWS KMS kunci yang akan digunakan untuk enkripsi konten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan yang dikelola SageMaker AI Model Governance
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Tata Kelola Model SageMaker AI sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) - Pembaruan ke kebijakan yang tersedia | 3 | Tambahkan pernyataan IDs (`Sid`). | Juni 4, 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Perbarui ke kebijakan yang ada | 2 | Tambahkan `sagemaker:DescribeModelPackage` dan `DescribeModelPackageGroup` izin. | Juli 17, 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Kebijakan baru | 1 | Kebijakan awal | 30 November 2022 |
# AWS Kebijakan Terkelola untuk Registri Model
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Model Registry. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol Amazon SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Amazon SageMaker AI memperbarui kebijakan terkelola Model Registry](#security-iam-awsmanpol-model-registry-updates)
## AWS kebijakan terkelola: AmazonSageMakerModelRegistryFullAccess
Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk menggunakan semua fitur Model Registry di dalam domain Amazon SageMaker AI. Kebijakan ini dilampirkan ke peran eksekusi saat mengonfigurasi pengaturan Registri Model untuk mengaktifkan izin Registri Model.
Kebijakan ini mencakup izin berikut.
+ `ecr`— Memungkinkan kepala sekolah untuk mengambil informasi, termasuk metadata, tentang gambar Amazon Elastic Container Registry (Amazon ECR) Registry ECR).
+ `iam`— Memungkinkan kepala sekolah untuk meneruskan peran eksekusi ke layanan Amazon SageMaker AI.
+ `resource-groups`— Memungkinkan prinsipal untuk membuat, daftar, menandai, dan menghapus. AWS Resource Groups
+ `s3`— Memungkinkan prinsipal untuk mengambil objek dari bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) tempat versi model disimpan. Objek yang dapat diambil terbatas pada objek yang nama case-insensitive berisi string. `"sagemaker"`
+ `sagemaker`— Memungkinkan prinsipal untuk membuat katalog, mengelola, dan menyebarkan model menggunakan Model Registry. SageMaker
+ `kms`— Mengizinkan hanya prinsipal layanan SageMaker AI untuk menambahkan hibah, menghasilkan kunci data, mendekripsi, dan AWS KMS kunci baca, dan hanya kunci yang diberi tag untuk penggunaan “pembuat sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola Model Registry
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Registri Model sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) - Pembaruan ke kebijakan yang tersedia | 2 | Tambahkan`kms:CreateGrant`,`kms:DescribeKey`,`kms:GenerateDataKey`, dan `kms:Decrypt` izin. | Juni 6, 2024 |
| AmazonSageMakerModelRegistryFullAccess - Kebijakan baru | 1 | Kebijakan awal | 12 April 2023 |
# AWS Kebijakan Terkelola untuk SageMaker Notebook
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Buku SageMaker Catatan. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Notebook](#security-iam-awsmanpol-notebooks-updates)
## AWS kebijakan terkelola: AmazonSageMakerNotebooksServiceRolePolicy
Kebijakan AWS terkelola ini memberikan izin yang biasanya diperlukan untuk menggunakan Notebook Amazon SageMaker . Kebijakan ditambahkan ke kebijakan `AWSServiceRoleForAmazonSageMakerNotebooks` yang dibuat saat Anda onboard ke Amazon SageMaker Studio Classic. Untuk informasi selengkapnya tentang peran terkait layanan, lihat. [Peran terkait layanan](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked) Untuk informasi selengkapnya, lihat [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `elasticfilesystem`— Memungkinkan prinsipal untuk membuat dan menghapus sistem file Amazon Elastic File System (EFS), titik akses, dan target mount. Ini terbatas pada yang ditandai dengan kunci *ManagedByAmazonSageMakerResource*. Memungkinkan prinsipal untuk mendeskripsikan semua sistem file EFS, titik akses, dan target pemasangan. Memungkinkan prinsipal untuk membuat atau menimpa tag untuk titik akses EFS dan memasang target.
+ `ec2`— Memungkinkan prinsipal membuat antarmuka jaringan dan grup keamanan untuk instans Amazon Elastic Compute Cloud (EC2). Juga memungkinkan prinsipal untuk membuat dan menimpa tag untuk sumber daya ini.
+ `sso`— Memungkinkan prinsipal untuk menambah dan menghapus instance aplikasi terkelola ke. AWS IAM Identity Center
+ `sagemaker`— Memungkinkan kepala sekolah untuk membuat dan membaca profil pengguna SageMaker AI dan ruang SageMaker AI; menghapus spasi AI dan aplikasi SageMaker SageMaker AI; dan menambahkan dan mencantumkan tag.
+ `fsx`— Memungkinkan prinsipal untuk mendeskripsikan Amazon FSx untuk sistem file Lustre, dan menggunakan metadata untuk memasangnya di notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola SageMaker AI Notebook
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Pembaruan ke kebijakan yang tersedia | 10 | Tambahkan `fsx:DescribeFileSystems` izin. | November 14, 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Pembaruan ke kebijakan yang tersedia | 9 | Tambahkan `sagemaker:DeleteApp` izin. | Juli 24, 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada | 8 | Tambahkan`sagemaker:CreateSpace`,`sagemaker:DescribeSpace`,`sagemaker:DeleteSpace`,`sagemaker:ListTags`, dan `sagemaker:AddTags` izin. | 22 Mei 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada | 7 | Tambahkan `elasticfilesystem:TagResource` izin. | 9 Maret 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Perbarui ke kebijakan yang ada | 6 | Tambahkan`elasticfilesystem:CreateAccessPoint`,`elasticfilesystem:DeleteAccessPoint`, dan `elasticfilesystem:DescribeAccessPoints` izin. | Januari 12, 2023 |
| | | SageMaker AI mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 1 Juni 2021 |
# AWS kebijakan terkelola untuk Aplikasi AI SageMaker Mitra Amazon
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan Aplikasi AI SageMaker Mitra Amazon. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Amazon SageMaker AI memperbarui kebijakan terkelola Aplikasi AI Mitra](#security-iam-awsmanpol-partner-apps-updates)
## AWS kebijakan terkelola: AmazonSageMakerPartnerAppsFullAccess
Memungkinkan akses administratif penuh ke Amazon SageMaker Partner AI Apps.
**Detail izin**
Kebijakan AWS terkelola ini mencakup izin berikut.
+ `sagemaker`— Memberikan izin kepada pengguna Amazon SageMaker Partner AI App untuk mengakses aplikasi, membuat daftar aplikasi yang tersedia, meluncurkan web aplikasi UIs, dan terhubung menggunakan SDK aplikasi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan terkelola Aplikasi AI Mitra
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Aplikasi AI Mitra sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman [riwayat Dokumen SageMaker ](doc-history.md) AI.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Kebijakan baru | 1 | Kebijakan awal | Januari 17, 2025 |
# AWS Kebijakan Terkelola untuk SageMaker Saluran Pipa
Kebijakan AWS terkelola ini menambahkan izin yang diperlukan untuk menggunakan SageMaker Pipelines. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI memperbarui kebijakan yang dikelola SageMaker AI Pipelines](#security-iam-awsmanpol-pipelines-updates)
## AWS kebijakan terkelola: AmazonSageMakerPipelinesIntegrations
Kebijakan AWS terkelola ini memberikan izin yang biasanya diperlukan untuk menggunakan langkah Callback dan langkah Lambda di Pipelines. SageMaker Kebijakan ditambahkan ke kebijakan `AmazonSageMaker-ExecutionRole` yang dibuat saat Anda onboard ke Amazon SageMaker Studio Classic. Kebijakan dapat dilampirkan ke peran apa pun yang digunakan untuk membuat atau mengeksekusi pipeline.
Kebijakan ini memberikan izin AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon, dan IAM yang sesuai yang diperlukan saat membuat pipeline yang menjalankan fungsi Lambda atau menyertakan langkah panggilan balik, yang dapat digunakan untuk langkah persetujuan manual atau menjalankan beban kerja khusus.
Izin Amazon SQS memungkinkan Anda membuat antrean Amazon SQS yang diperlukan untuk menerima pesan panggilan balik, dan juga untuk mengirim pesan ke antrean tersebut.
Izin Lambda memungkinkan Anda membuat, membaca, memperbarui, dan menghapus fungsi Lambda yang digunakan dalam langkah-langkah pipeline, dan juga untuk menjalankan fungsi Lambda tersebut.
Kebijakan ini memberikan izin EMR Amazon yang diperlukan untuk menjalankan langkah EMR Amazon saluran pipa.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `elasticmapreduce`— Baca, tambahkan, dan batalkan langkah-langkah di klaster EMR Amazon yang sedang berjalan. Baca, buat, dan akhiri cluster EMR Amazon baru.
+ `events`— Baca, buat, perbarui, dan tambahkan target ke EventBridge aturan bernama `SageMakerPipelineExecutionEMRStepStatusUpdateRule` dan`SageMakerPipelineExecutionEMRClusterStatusUpdateRule`.
+ `iam`— Lulus peran IAM ke layanan AWS Lambda, Amazon EMR, dan Amazon EC2.
+ `lambda`— Buat, baca, perbarui, hapus, dan panggil fungsi Lambda. Izin ini terbatas pada fungsi yang namanya termasuk “sagemaker”.
+ `sqs`— Buat antrian Amazon SQS; kirim pesan Amazon SQS. Izin ini terbatas pada antrian yang namanya termasuk “pembuat sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan yang dikelola SageMaker AI Pipelines
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Pembaruan ke kebijakan yang tersedia | 3 | Menambahkan izin untuk`elasticmapreduce:RunJobFlows`,, `elasticmapreduce:TerminateJobFlows``elasticmapreduce:ListSteps`, dan`elasticmapreduce:DescribeCluster`. | 17 Februari 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Pembaruan ke kebijakan yang tersedia | 2 | Menambahkan izin untuk`lambda:GetFunction`,`events:DescribeRule`,,`events:PutRule`,`events:PutTargets`, `elasticmapreduce:AddJobFlowSteps``elasticmapreduce:CancelSteps`, dan`elasticmapreduce:DescribeStep`. | 20 April 2022 |
| AmazonSageMakerPipelinesIntegrations - Kebijakan baru | 1 | Kebijakan awal | 30 Juli 2021 |
# AWS kebijakan terkelola untuk rencana SageMaker pelatihan
Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk membuat dan mengelola rencana SageMaker pelatihan Amazon dan Kapasitas Cadangan dalam SageMaker AI. Kebijakan ini dapat dilampirkan pada peran IAM yang digunakan untuk membuat dan mengelola rencana pelatihan dan kapasitas cadangan dalam SageMaker AI termasuk [peran eksekusi SageMaker AI](sagemaker-roles.md) Anda.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [AWS kebijakan terkelola: AmazonSageMakerCapacityReservationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCapacityReservationServiceRolePolicy)
+ [Amazon SageMaker AI memperbarui kebijakan terkelola rencana SageMaker pelatihan](#security-iam-awsmanpol-training-plan-updates)
## AWS kebijakan terkelola: AmazonSageMakerTrainingPlanCreateAccess
Kebijakan ini memberikan izin yang diperlukan untuk membuat, mendeskripsikan, mencari, dan membuat daftar rencana pelatihan di SageMaker AI. Selain itu, ini juga memungkinkan penambahan tag ke rencana pelatihan dan sumber daya kapasitas cadangan dalam kondisi tertentu.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sagemaker`— Buat rencana pelatihan dan kapasitas cadangan, izinkan penambahan tag ke rencana pelatihan dan kapasitas cadangan ketika tindakan penandaan secara khusus `CreateTrainingPlan` atau`CreateReservedCapacity`, memungkinkan menjelaskan rencana pelatihan, mengizinkan pencarian penawaran rencana pelatihan dan daftar rencana pelatihan yang ada di semua sumber daya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerCapacityReservationServiceRolePolicy
Kebijakan ini digunakan oleh peran terkait layanan yang diberi nama AWSService RoleForSageMakerCapacityReservation untuk mempublikasikan CloudWatch metrik pemanfaatan Kapasitas Cadangan ke akun pelanggan. Peran terkait layanan dibuat oleh prinsipal layanan capacityreservation.sagemaker.amazonaws.com.
**catatan**
Ini adalah kebijakan peran terkait layanan. Anda tidak dapat melampirkan kebijakan ini ke identitas IAM Anda. SageMaker AI membuat kebijakan ini dan melampirkannya ke peran terkait layanan yang memungkinkan SageMaker AI melakukan tindakan atas nama Anda.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `cloudwatch`— Memungkinkan penerbitan data metrik ke CloudWatch. Izin ini dicakup ke `aws/sagemaker/CapacityReservations` namespace menggunakan kunci kondisi.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CloudwatchPutMetricDataAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "aws/sagemaker/CapacityReservations"
}
}
}
]
}
```
Untuk informasi selengkapnya, lihat [AmazonSageMakerCapacityReservationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerCapacityReservationServiceRolePolicy.html)di Panduan Referensi Kebijakan AWS Terkelola.
## Amazon SageMaker AI memperbarui kebijakan terkelola rencana SageMaker pelatihan
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCapacityReservationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCapacityReservationServiceRolePolicy) – Kebijakan baru | 1 | Kebijakan awal | Maret 5, 2026 |
| AmazonSageMakerTrainingPlanCreateAccess - Kebijakan diperbarui | 2 | Kebijakan yang diperbarui untuk menambahkan izin untuk mengambil informasi tentang kapasitas cadangan tertentu dan mencantumkan semua UltraServers dalam kapasitas cadangan. | Juli 29, 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Kebijakan baru | 1 | Kebijakan awal | Desember 4, 2024 |
# AWS Kebijakan Terkelola untuk SageMaker Proyek dan JumpStart
Kebijakan AWS terkelola ini menambahkan izin untuk menggunakan templat dan JumpStart solusi proyek Amazon SageMaker AI bawaan. Kebijakan tersedia di AWS akun Anda dan digunakan oleh peran eksekusi yang dibuat dari konsol SageMaker AI.
SageMaker Memproyeksikan dan JumpStart menggunakan AWS Service Catalog untuk menyediakan AWS sumber daya di akun pelanggan. Beberapa sumber daya yang dibuat perlu mengambil peran eksekusi. Misalnya, jika AWS Service Catalog membuat CodePipeline pipeline atas nama pelanggan untuk CI/CD proyek pembelajaran mesin SageMaker AI, maka pipeline tersebut memerlukan peran IAM.
[AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)Peran tersebut memiliki izin yang diperlukan untuk meluncurkan portofolio SageMaker AI produk dari AWS Service Catalog. [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)Peran tersebut memiliki izin yang diperlukan untuk menggunakan portofolio SageMaker AI produk dari AWS Service Catalog. `AmazonSageMakerServiceCatalogProductsLaunchRole`Peran meneruskan `AmazonSageMakerServiceCatalogProductsUseRole` peran ke sumber daya produk AWS Service Catalog yang disediakan.
**Topics**
+ [AWS kebijakan terkelola: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Kebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsEventsServiceRole Kebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Kebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsGlueServiceRole Kebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Kebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [Amazon SageMaker AI memperbarui kebijakan AWS terkelola AWS Service Catalog](#security-iam-awsmanpol-sc-updates)
## AWS kebijakan terkelola: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Kebijakan peran layanan ini digunakan oleh AWS Service Catalog layanan untuk menyediakan produk dari portofolio Amazon SageMaker AI. Kebijakan ini memberikan izin ke serangkaian AWS layanan terkait termasuk AWS CodePipeline,,, AWS CodeCommit AWS Glue AWS CodeBuild AWS CloudFormation, dan lainnya.
`AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy`Kebijakan ini dimaksudkan untuk digunakan oleh `AmazonSageMakerServiceCatalogProductsLaunchRole` peran yang dibuat dari konsol SageMaker AI. Kebijakan ini menambahkan izin untuk menyediakan AWS sumber daya untuk SageMaker Projects dan JumpStart menggunakan Service Catalog ke akun pelanggan.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `apigateway`— Memungkinkan peran untuk memanggil titik akhir API Gateway yang ditandai dengan. `sagemaker:launch-source`
+ `cloudformation`— Memungkinkan AWS Service Catalog untuk membuat, memperbarui, dan menghapus CloudFormation tumpukan. Juga memungkinkan Service Catalog untuk menandai dan menghapus tag sumber daya.
+ `codebuild`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat, memperbarui, dan menghapus CodeBuild proyek.
+ `codecommit`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat, memperbarui, dan menghapus CodeCommit repositori.
+ `codepipeline`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat, memperbarui, dan menghapus CodePipelines.
+ `codeconnections`, `codestar-connections` — Juga memungkinkan peran untuk lulus AWS CodeConnections dan AWS CodeStar koneksi.
+ `cognito-idp`— Memungkinkan peran untuk membuat, memperbarui, dan menghapus grup dan kumpulan pengguna. Juga memungkinkan penandaan sumber daya.
+ `ecr`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat dan menghapus repositori Amazon ECR. Juga memungkinkan penandaan sumber daya.
+ `events`— Memungkinkan peran yang diasumsikan oleh AWS Service Catalog dan diteruskan CloudFormation untuk membuat dan menghapus EventBridge aturan. Digunakan untuk mengikat berbagai komponen pipa CICD.
+ `firehose`— Memungkinkan peran untuk berinteraksi dengan aliran Firehose.
+ `glue`— Memungkinkan peran untuk berinteraksi dengan AWS Glue.
+ `iam`— Memungkinkan peran untuk melewati peran yang ditambahkan. `AmazonSageMakerServiceCatalog` Ini diperlukan ketika Proyek menyediakan AWS Service Catalog produk, sebagai peran perlu diteruskan AWS Service Catalog.
+ `lambda`— Memungkinkan peran untuk berinteraksi dengan AWS Lambda. Juga memungkinkan penandaan sumber daya.
+ `logs`— Memungkinkan peran untuk membuat, menghapus, dan mengakses aliran log.
+ `s3`— Memungkinkan peran yang diambil oleh AWS Service Catalog dan diteruskan CloudFormation untuk mengakses bucket Amazon S3 tempat kode template Project disimpan.
+ `sagemaker`— Memungkinkan peran untuk berinteraksi dengan berbagai layanan SageMaker AI. Ini dilakukan baik CloudFormation selama penyediaan template, maupun CodeBuild selama eksekusi pipeline CICD. Juga memungkinkan penandaan sumber daya berikut: titik akhir, konfigurasi titik akhir, model, saluran pipa, proyek, dan paket model.
+ `states`— Memungkinkan peran untuk membuat, menghapus, dan memperbarui Step Functions yang ditambahkan. `sagemaker`
Untuk melihat izin kebijakan ini, lihat [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Kebijakan ini digunakan oleh Amazon API Gateway dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan ke peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh API Gateway yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `lambda`— Memanggil fungsi yang dibuat oleh template mitra.
+ `sagemaker`— Memanggil titik akhir yang dibuat oleh template mitra.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Kebijakan ini digunakan oleh AWS CloudFormation dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh CloudFormation yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `iam`— Lulus `AmazonSageMakerServiceCatalogProductsLambdaRole` dan `AmazonSageMakerServiceCatalogProductsApiGatewayRole` peran.
+ `lambda`— Buat, perbarui, hapus, dan panggil AWS Lambda fungsi; mengambil, menerbitkan, dan menghapus versi lapisan Lambda.
+ `apigateway`— Buat, perbarui, dan hapus sumber daya Amazon API Gateway.
+ `s3`— Ambil `lambda-auth-code/layer.zip` file dari bucket Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Kebijakan ini digunakan oleh AWS Lambda dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh Lambda yang membutuhkan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `secretsmanager`— Ambil data dari rahasia yang disediakan mitra untuk template mitra.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Kebijakan ini digunakan oleh Amazon API Gateway dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan ke peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh API Gateway yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `logs`— Buat dan baca grup CloudWatch Log, aliran, dan acara; perbarui acara; jelaskan berbagai sumber daya.
Izin ini terbatas pada sumber daya yang awalan grup lognya dimulai dengan “aws/apigateway/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Kebijakan
Kebijakan ini digunakan oleh AWS CloudFormation dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh CloudFormation yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sagemaker`— Izinkan akses ke berbagai sumber daya SageMaker AI tidak termasuk domain, profil pengguna, aplikasi, dan definisi aliran.
+ `iam`— Lulus `AmazonSageMakerServiceCatalogProductsCodeBuildRole` dan `AmazonSageMakerServiceCatalogProductsExecutionRole` peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Kebijakan ini digunakan oleh AWS CodeBuild dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh CodeBuild yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sagemaker`— Izinkan akses ke berbagai sumber daya SageMaker AI.
+ `codecommit`— Unggah CodeCommit arsip ke CodeBuild pipeline, dapatkan status unggah, dan batalkan unggahan; dapatkan informasi cabang dan komit. Izin ini terbatas pada sumber daya yang namanya dimulai dengan “sagemaker-”.
+ `ecr`— Buat repositori Amazon ECR dan gambar kontainer; unggah lapisan gambar. Izin ini terbatas pada repositori yang namanya dimulai dengan “sagemaker-”.
`ecr`— Baca semua sumber daya.
+ `iam`— Lulus peran berikut:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`ke AWS CloudFormation.
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`ke AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`ke AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`ke Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`ke Amazon SageMaker AI.
+ `logs`— Buat dan baca grup CloudWatch Log, aliran, dan acara; perbarui acara; jelaskan berbagai sumber daya.
Izin ini terbatas pada sumber daya yang awalan namanya dimulai dengan “aws/codebuild/”.
+ `s3`— Buat, baca, dan daftar ember Amazon S3. Izin ini terbatas pada bucket yang namanya dimulai dengan “sagemaker-”.
+ `codeconnections`, `codestar-connections` - Penggunaan AWS CodeConnections dan AWS CodeStar koneksi.
Untuk melihat izin kebijakan ini, lihat [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Kebijakan ini digunakan oleh AWS CodePipeline dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh CodePipeline yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `cloudformation`— Membuat, membaca, menghapus, dan memperbarui CloudFormation tumpukan; membuat, membaca, menghapus, dan menjalankan set perubahan; mengatur kebijakan tumpukan; tag dan untag sumber daya. Izin ini terbatas pada sumber daya yang namanya dimulai dengan “sagemaker-”.
+ `s3`— Buat, baca, daftar, dan hapus bucket Amazon S3; menambah, membaca, dan menghapus objek dari bucket; membaca dan mengatur konfigurasi CORS; baca daftar kontrol akses (ACL); dan baca Wilayah tempat AWS bucket berada.
Izin ini terbatas pada ember yang namanya dimulai dengan “sagemaker-” atau “aws-glue-.
+ `iam`— Lulus `AmazonSageMakerServiceCatalogProductsCloudformationRole` peran.
+ `codebuild`— Dapatkan informasi CodeBuild build dan mulai membangun. Izin ini terbatas pada proyek dan membangun sumber daya yang namanya dimulai dengan “sagemaker-”.
+ `codecommit`— Unggah CodeCommit arsip ke CodeBuild pipeline, dapatkan status unggah, dan batalkan unggahan; dapatkan informasi cabang dan komit.
+ `codeconnections`, `codestar-connections` - Penggunaan AWS CodeConnections dan AWS CodeStar koneksi.
Untuk melihat izin kebijakan ini, lihat [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)di Referensi Kebijakan AWS Terkelola.
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsEventsServiceRole Kebijakan
Kebijakan ini digunakan oleh Amazon EventBridge dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh EventBridge yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `codepipeline`— Mulai CodeBuild eksekusi. Izin ini terbatas pada saluran pipa yang namanya dimulai dengan “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Kebijakan
Kebijakan ini digunakan oleh Amazon Data Firehose dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon AI. SageMaker Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh Firehose yang memerlukan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `firehose`— Kirim catatan Firehose. Izin ini terbatas pada sumber daya yang nama aliran pengirimannya dimulai dengan “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsGlueServiceRole Kebijakan
Kebijakan ini digunakan oleh AWS Glue dalam produk yang disediakan AWS Service Catalog dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh Glue yang membutuhkan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `glue`— Buat, baca, dan hapus AWS Glue partisi, tabel, dan versi tabel. Izin ini terbatas pada sumber daya yang namanya dimulai dengan “sagemaker-”. Buat dan baca database AWS Glue. Izin ini terbatas pada database yang namanya “default”, “global\$1temp”, atau dimulai dengan “sagemaker-”. Dapatkan fungsi yang ditentukan pengguna.
+ `s3`— Buat, baca, daftar, dan hapus bucket Amazon S3; menambah, membaca, dan menghapus objek dari bucket; membaca dan mengatur konfigurasi CORS; baca daftar kontrol akses (ACL), dan baca Wilayah tempat AWS bucket berada.
Izin ini terbatas pada ember yang namanya dimulai dengan “sagemaker-” atau “aws-glue-”.
+ `logs`— Buat, baca, dan hapus grup CloudWatch log log, aliran, dan pengiriman; dan buat kebijakan sumber daya.
Izin ini terbatas pada sumber daya yang awalan namanya dimulai dengan “aws/glue/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS kebijakan terkelola: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Kebijakan
Kebijakan ini digunakan oleh AWS Lambda dalam produk yang AWS Service Catalog disediakan dari portofolio Amazon SageMaker AI. Kebijakan ini dimaksudkan untuk dilampirkan pada peran IAM yang [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)diteruskan ke AWS sumber daya yang dibuat oleh Lambda yang membutuhkan peran.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `sagemaker`— Izinkan akses ke berbagai sumber daya SageMaker AI.
+ `ecr`— Buat dan hapus repositori Amazon ECR; buat, baca, dan hapus gambar wadah; unggah lapisan gambar. Izin ini terbatas pada repositori yang namanya dimulai dengan “sagemaker-”.
+ `events`— Buat, baca, dan hapus EventBridge aturan Amazon; dan buat dan hapus target. Izin ini terbatas pada aturan yang namanya dimulai dengan “sagemaker-”.
+ `s3`— Buat, baca, daftar, dan hapus bucket Amazon S3; menambah, membaca, dan menghapus objek dari bucket; membaca dan mengatur konfigurasi CORS; baca daftar kontrol akses (ACL), dan baca Wilayah tempat AWS bucket berada.
Izin ini terbatas pada ember yang namanya dimulai dengan “sagemaker-” atau “aws-glue-”.
+ `iam`— Lulus `AmazonSageMakerServiceCatalogProductsExecutionRole` peran.
+ `logs`— Buat, baca, dan hapus grup CloudWatch log log, aliran, dan pengiriman; dan buat kebijakan sumber daya.
Izin ini terbatas pada sumber daya yang awalan namanya dimulai dengan “aws/lambda/”.
+ `codebuild`— Mulai dan dapatkan informasi tentang AWS CodeBuild build.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI memperbarui kebijakan AWS terkelola AWS Service Catalog
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)- Kebijakan yang diperbarui | 10 | Diperbarui `codestar-connections:PassConnection` dan `codeconnections:PassConnection` izin. | September 27, 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)- Kebijakan yang diperbarui | 3 | Diperbarui `codestar-connections:UseConnection` dan `codeconnections:UseConnection` izin. | September 27, 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)- Kebijakan yang diperbarui | 3 | Diperbarui `codestar-connections:UseConnection` dan `codeconnections:UseConnection` izin. | September 27, 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)- Kebijakan yang diperbarui | 9 | Tambahkan`cloudformation:TagResource`,`cloudformation:UntagResource`, dan `codeconnections:PassConnection` izin. | Juli 1, 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 7 | Kembalikan kebijakan ke versi 7 (v7). Hapus`cloudformation:TagResource`,`cloudformation:UntagResource`, dan `codeconnections:PassConnection` izin. | Juni 12, 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 8 | Tambahkan`cloudformation:TagResource`,`cloudformation:UntagResource`, dan `codeconnections:PassConnection` izin. | Juni 11, 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)- Kebijakan yang diperbarui | 2 | Tambahkan `codestar-connections:UseConnection` dan `codeconnections:UseConnection` izin. | Juni 11, 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)- Kebijakan yang diperbarui | 2 | Tambahkan`cloudformation:TagResource`,`cloudformation:UntagResource`, `codestar-connections:UseConnection` dan `codeconnections:UseConnection` izin. | Juni 11, 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)- Kebijakan yang diperbarui | 2 | Tambahkan `codebuild:StartBuild` dan `codebuild:BatchGetBuilds` izin. | Juni 11, 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Kebijakan awal | 1 Agustus 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Kebijakan awal | 1 Agustus 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Kebijakan awal | 1 Agustus 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)- Kebijakan yang diperbarui | 2 | Tambahkan izin untuk`glue:GetUserDefinedFunctions`. | 26 Agustus 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 7 | Tambahkan izin untuk`sagemaker:AddTags`. | 2 Agustus 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 6 | Tambahkan izin untuk`lambda:TagResource`. | 14 Juli 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRoleKebijakan | 1 | Kebijakan awal | 4 April 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Kebijakan awal | 24 Maret 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Kebijakan awal | 24 Maret 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Kebijakan awal | 24 Maret 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 5 | Tambahkan izin untuk`ecr-idp:TagResource`. | Maret 21, 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Kebijakan awal | Februari 22, 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Kebijakan awal | Februari 22, 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRoleKebijakan](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Kebijakan awal | Februari 22, 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRoleKebijakan | 1 | Kebijakan awal | Februari 22, 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 4 | Tambahkan izin untuk `cognito-idp:TagResource` dan`s3:PutBucketCORS`. | 16 Februari 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 3 | Tambahkan izin baru untuk`sagemaker`. Buat, baca, perbarui, dan hapus SageMaker Gambar. | 15 September 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Kebijakan yang diperbarui | 2 | Tambahkan izin untuk `sagemaker` dan`codestar-connections`. Buat, baca, perbarui, dan hapus repositori kode. Lewati AWS CodeStar koneksi ke AWS CodePipeline. | 1 Juli 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Kebijakan awal | 27 November 2020 |
## SageMaker Pembaruan AI untuk Kebijakan AWS Terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk SageMaker AI sejak layanan ini mulai melacak perubahan ini.
| Kebijakan | Versi | Ubah | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Pembaruan ke kebijakan yang tersedia | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/security-iam-awsmanpol.html) | Desember 4, 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Pembaruan ke kebijakan yang tersedia | 26 | Tambahkan `sagemaker:AddTags` izin. | Maret 29, 2024 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 25 | Tambahkan`sagemaker:CreateApp`,`sagemaker:DescribeApp`,`sagemaker:DeleteApp`,`sagemaker:CreateSpace`,`sagemaker:UpdateSpace`,`sagemaker:DeleteSpace`,`s3express:CreateSession`,`s3express:CreateBucket`, dan `s3express:ListAllMyDirectoryBuckets` izin. | 30 November 2023 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 24 | Tambahkan`sagemaker-geospatial:*`,`sagemaker:AddTags`,`sagemaker-ListTags`,`sagemaker-DescribeSpace`, dan `sagemaker:ListSpaces` izin. | 30 November 2022 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 23 | Tambahkan `glue:UpdateTable`. | Juni 29, 2022 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 22 | Tambahkan `cloudformation:ListStackResources`. | 1 Mei 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) - Pembaruan ke kebijakan yang tersedia | 11 | Tambahkan`sagemaker:QueryLineage`,`sagemaker:GetLineageGroupPolicy`,`sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy` izin. | 1 Desember 2021 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 21 | Tambahkan `sns:Publish` izin untuk titik akhir dengan Inferensi Async diaktifkan. | 8 September 2021 |
| AmazonSageMakerFullAccess - Perbarui ke kebijakan yang ada | 20 | Perbarui `iam:PassRole` sumber daya dan izin. | 15 Juli 2021 |
| AmazonSageMakerReadOnly - Perbarui ke kebijakan yang ada | 10 | API baru `BatchGetRecord` ditambahkan untuk SageMaker AI Feature Store. | 10 Juni 2021 |
| | | SageMaker AI mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 1 Juni 2021 |
# Memecahkan Masalah Identitas dan SageMaker Akses Amazon AI
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan SageMaker AI dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di SageMaker AI](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya SageMaker AI saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di SageMaker AI
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk melihat detail tentang pekerjaan pelatihan tetapi tidak memiliki `sagemaker:sagemaker:DescribeTrainingJob` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not
authorized to perform: sagemaker:DescribeTrainingJob on resource: my-example-widget
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `TrainingJob` menggunakan tindakan `sagemaker:DescribeTrainingJob`.
## Saya tidak berwenang untuk melakukan `iam:PassRole`
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke SageMaker AI.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di SageMaker AI. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya SageMaker AI saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah SageMaker AI mendukung fitur-fitur ini, lihat[Bagaimana Amazon SageMaker AI bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Pembuatan Log dan Pemantauan
Anda dapat memantau Amazon SageMaker AI menggunakan Amazon CloudWatch, yang mengumpulkan data mentah dan memprosesnya menjadi metrik yang dapat dibaca, mendekati waktu nyata. Statistik ini disimpan untuk jangka waktu 15 bulan, sehingga Anda dapat mengakses informasi historis dan mendapatkan perspektif yang lebih baik tentang performa aplikasi atau layanan web Anda. Anda juga dapat mengatur alarm yang mengawasi ambang batas tertentu dan mengirim pemberitahuan atau mengambil tindakan ketika ambang batas tersebut terpenuhi. Untuk informasi selengkapnya, lihat [Metrik Amazon SageMaker AI di Amazon CloudWatch](monitoring-cloudwatch.md).
Amazon CloudWatch Logs memungkinkan Anda memantau, menyimpan, dan mengakses file log Anda dari instans Amazon EC2, AWS CloudTrail, dan sumber lainnya. Anda dapat mengumpulkan dan melacak metrik, membuat dasbor yang disesuaikan, dan menyetel alarm yang memberi tahu Anda atau mengambil tindakan saat metrik tertentu mencapai ambang batas yang Anda tentukan. CloudWatch Log dapat memantau informasi dalam file log dan memberi tahu Anda ketika ambang batas tertentu terpenuhi. Anda juga dapat mengarsipkan data log dalam penyimpanan yang sangat durabel. Untuk informasi selengkapnya, lihat [CloudWatch Log untuk Amazon SageMaker AI](logging-cloudwatch.md).
AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di SageMaker AI. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk SageMaker AI, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat [Mencatat panggilan Amazon SageMaker AI API menggunakan AWS CloudTrail](logging-using-cloudtrail.md).
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) adalah layanan deteksi ancaman yang terus memantau dan menganalisis CloudTrail manajemen dan log peristiwa Anda untuk mengidentifikasi potensi masalah keamanan. Saat Anda mengaktifkan GuardDuty AWS akun, akun secara otomatis mulai menganalisis CloudTrail log untuk mendeteksi aktivitas mencurigakan di SageMaker APIs akun. Misalnya, GuardDuty akan mendeteksi aktivitas mencurigakan saat pengguna secara tidak normal membuat instance notebook baru yang telah ditandatangani sebelumnya atau kosong yang nantinya dapat digunakan untuk tindakan jahat. GuardDutyDeteksi eksfiltrasi kredenal unik dapat membantu pelanggan mengidentifikasi bahwa AWS kredenal yang terkait dengan instans Amazon EC2 telah diekstraksi, dan kemudian digunakan untuk menelepon dari akun lain. SageMaker APIs AWS
Anda dapat membuat aturan di Amazon CloudWatch Events untuk bereaksi terhadap perubahan status status dalam SageMaker pelatihan, penyetelan hiperperparameter, atau pekerjaan transformasi batch. Untuk informasi selengkapnya, lihat [Peristiwa yang dikirimkan Amazon SageMaker AI ke Amazon EventBridge](automating-sagemaker-with-eventbridge.md).
**catatan**
CloudTrail tidak memantau panggilan ke [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html).
# Validasi kepatuhan untuk Amazon AI SageMaker
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di Amazon AI SageMaker
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
Selain infrastruktur AWS global, Amazon SageMaker AI menawarkan beberapa fitur untuk membantu mendukung ketahanan data dan kebutuhan cadangan Anda.
# Keamanan Infrastruktur di Amazon SageMaker AI
Sebagai layanan terkelola, Amazon SageMaker AI dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon SageMaker AI melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
**Topics**
+ [SageMaker AWS Marketplace Pelatihan Pemindaian AI dan Wadah Inferensi untuk Kerentanan Keamanan](#mkt-container-scan)
+ [Connect ke sumber daya Amazon SageMaker AI dari dalam VPC](infrastructure-connect-to-resources.md)
+ [Jalankan Kontainer Pelatihan dan Inferensi dalam Mode Bebas Internet](mkt-algo-model-internet-free.md)
+ [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md)
+ [Berikan Akses SageMaker AI ke Sumber Daya di VPC Amazon Anda](infrastructure-give-access.md)
## SageMaker AWS Marketplace Pelatihan Pemindaian AI dan Wadah Inferensi untuk Kerentanan Keamanan
Untuk memenuhi persyaratan keamanan kami, semua [ SageMaker gambar yang dibuat sebelumnya](https://docs.aws.amazon.com/sagemaker/latest/dg-ecr-paths/sagemaker-algo-docker-registry-paths.html), termasuk AWS Deep Learning Containers, wadah kerangka kerja pembelajaran mesin SageMaker AI, dan wadah algoritme bawaan SageMaker AI, serta algoritme dan paket model yang tercantum dalam AWS Marketplace dipindai untuk Common Vulnerabilities and Exposures (CVE). CVE adalah daftar informasi yang diketahui publik tentang kerentanan dan eksposur keamanan. National Vulnerability Database (NVD) memberikan rincian CVE seperti tingkat keparahan, peringkat dampak, dan informasi perbaikan. Baik CVE dan NVD tersedia untuk konsumsi publik dan gratis untuk alat dan layanan keamanan untuk digunakan. Untuk informasi selengkapnya, lihat Pertanyaan yang [Sering Diajukan CVE (FAQs)](https://www.cve.org/ResourcesSupport/FAQs).
# Connect ke sumber daya Amazon SageMaker AI dari dalam VPC
**penting**
Informasi berikut berlaku untuk Amazon SageMaker Studio dan Amazon SageMaker Studio Classic. Konsep yang sama untuk menghubungkan ke sumber daya dalam VPC berlaku untuk Studio dan Studio Classic.
Instans Amazon SageMaker Studio dan notebook SageMaker AI memungkinkan akses internet langsung secara default. SageMaker AI memungkinkan Anda mengunduh paket dan notebook populer, menyesuaikan lingkungan pengembangan Anda, dan bekerja secara efisien. Namun, ini dapat memberikan pembukaan untuk akses tidak sah ke data Anda. Misalnya, jika Anda menginstal kode berbahaya di komputer Anda sebagai buku catatan atau pustaka kode sumber yang tersedia untuk umum, kode tersebut dapat mengakses data Anda. Anda dapat membatasi lalu lintas mana yang dapat mengakses internet dengan meluncurkan instans notebook Studio dan SageMaker AI Anda di [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
Amazon Virtual Private Cloud adalah jaringan virtual yang didedikasikan untuk AWS akun Anda. Dengan Amazon VPC, Anda dapat mengontrol akses jaringan dan konektivitas internet instans Studio dan notebook Anda. Anda dapat menghapus akses internet langsung untuk menambahkan lapisan keamanan lain.
Topik berikut menjelaskan cara menghubungkan instans Studio dan instans notebook Anda ke sumber daya di VPC.
**Topics**
+ [Hubungkan Amazon SageMaker Studio di VPC ke Sumber Daya Eksternal](studio-updated-and-internet-access.md)
+ [Hubungkan notebook Studio di VPC ke sumber daya eksternal](studio-notebooks-and-internet-access.md)
+ [Hubungkan Instance Notebook di VPC ke Sumber Daya Eksternal](appendix-notebook-and-internet-access.md)
# Hubungkan Amazon SageMaker Studio di VPC ke Sumber Daya Eksternal
**penting**
Per 30 November 2023, pengalaman Amazon SageMaker Studio sebelumnya sekarang bernama Amazon SageMaker Studio Classic. Bagian berikut khusus untuk menggunakan pengalaman Studio yang diperbarui. Untuk informasi tentang menggunakan aplikasi Studio Classic, lihat[Amazon SageMaker Studio Klasik](studio.md).
Topik berikut memberikan informasi tentang cara menghubungkan Amazon SageMaker Studio di VPC ke sumber daya eksternal.
**Topics**
+ [Komunikasi default dengan internet](#studio-notebooks-and-internet-access-default-setting)
+ [`VPC only`komunikasi dengan internet](#studio-notebooks-and-internet-access-vpc-only)
## Komunikasi default dengan internet
Secara default, Amazon SageMaker Studio menyediakan antarmuka jaringan yang memungkinkan komunikasi dengan internet melalui VPC yang dikelola oleh SageMaker AI. Lalu lintas ke AWS layanan seperti Amazon S3 dan CloudWatch melewati gateway internet, seperti halnya lalu lintas yang mengakses SageMaker AI API dan SageMaker runtime AI. Lalu lintas antara domain dan volume Amazon EFS Anda melewati VPC yang Anda tentukan saat Anda onboard ke domain atau disebut API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## `VPC only`komunikasi dengan internet
Untuk mencegah SageMaker AI menyediakan akses internet ke Studio, Anda dapat menonaktifkan akses internet dengan menentukan jenis akses `VPC only` jaringan saat Anda [onboard ke Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) atau memanggil API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Akibatnya, Anda tidak akan dapat menjalankan Studio kecuali VPC Anda memiliki titik akhir antarmuka ke SageMaker API dan runtime, atau gateway NAT dengan akses internet, dan grup keamanan Anda mengizinkan koneksi keluar.
**catatan**
Jenis akses jaringan dapat diubah setelah pembuatan domain menggunakan `--app-network-access-type` parameter perintah [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html).
### Persyaratan untuk menggunakan `VPC only` mode
Saat Anda memilih`VpcOnly`, ikuti langkah-langkah ini:
1. Anda harus menggunakan subnet pribadi saja. Anda tidak dapat menggunakan subnet publik dalam `VpcOnly` mode.
1. Pastikan subnet Anda memiliki jumlah alamat IP yang diperlukan. Jumlah yang diharapkan dari alamat IP yang dibutuhkan per pengguna dapat bervariasi berdasarkan kasus penggunaan. Kami merekomendasikan antara 2 dan 4 alamat IP per pengguna. Total kapasitas alamat IP untuk domain adalah jumlah alamat IP yang tersedia untuk setiap subnet yang disediakan saat domain dibuat. Pastikan perkiraan penggunaan alamat IP Anda tidak melebihi kapasitas yang didukung oleh jumlah subnet yang Anda berikan. Selain itu, menggunakan subnet yang didistribusikan di banyak zona ketersediaan dapat membantu ketersediaan alamat IP. Untuk informasi selengkapnya, lihat [ukuran VPC dan subnet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) untuk. IPv4
**catatan**
Anda hanya dapat mengonfigurasi subnet dengan VPC penyewaan default di mana instans Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancy VPCs, lihat [Instans Khusus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
1.
**Awas**
Saat menggunakan `VpcOnly` mode, Anda sebagian memiliki konfigurasi jaringan untuk domain. Kami merekomendasikan praktik keamanan terbaik untuk menerapkan izin hak istimewa terkecil ke akses masuk dan keluar yang disediakan aturan grup keamanan. Konfigurasi aturan masuk yang terlalu permisif dapat memungkinkan pengguna dengan akses ke VPC untuk berinteraksi dengan aplikasi profil pengguna lain tanpa otentikasi.
Siapkan satu atau beberapa grup keamanan dengan aturan masuk dan keluar yang memungkinkan lalu lintas berikut:
+ [Lalu lintas NFS melalui TCP pada port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) antara domain dan volume Amazon EFS.
+ [Lalu lintas TCP dalam grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Ini diperlukan untuk konektivitas antara Jupyter Server aplikasi dan Kernel Gateway aplikasi. Anda harus mengizinkan akses ke setidaknya port dalam jangkauan`8192-65535`.
Buat grup keamanan yang berbeda untuk setiap profil pengguna dan tambahkan akses masuk dari grup keamanan yang sama. Kami tidak menyarankan untuk menggunakan kembali grup keamanan tingkat domain untuk profil pengguna. Jika grup keamanan tingkat domain memungkinkan akses masuk ke dirinya sendiri, maka semua aplikasi dalam domain akan memiliki akses ke semua aplikasi lain di domain.
1. Jika Anda ingin mengizinkan akses internet, Anda harus menggunakan [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) dengan akses ke internet, misalnya melalui [gateway internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Jika Anda tidak ingin mengizinkan akses internet, [buat antarmuka VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink) untuk memungkinkan Studio mengakses layanan berikut dengan nama layanan yang sesuai. Anda juga harus mengaitkan grup keamanan untuk VPC Anda dengan titik akhir ini.
+ SageMaker API:`com.amazonaws.region.sagemaker.api`.
+ SageMaker Runtime AI:`com.amazonaws.region.sagemaker.runtime`. Ini diperlukan untuk menjalankan pemanggilan titik akhir.
+ Amazon S3:. `com.amazonaws.region.s3`
+ SageMaker Proyek:`com.amazonaws.region.servicecatalog`.
+ SageMaker Studio:`aws.sagemaker.region.studio`.
+ AWS Layanan lain yang Anda butuhkan.
Jika Anda menggunakan [SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) untuk menjalankan pekerjaan pelatihan jarak jauh, Anda juga harus membuat endpoint Amazon VPC berikut.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:`com.amazonaws.region.logs`. Ini diperlukan untuk memungkinkan SageMaker Python SDK mendapatkan status pekerjaan pelatihan jarak jauh. Amazon CloudWatch
1. Jika menggunakan domain dalam `VpcOnly` mode dari jaringan lokal, buat konektivitas pribadi dari jaringan host yang menjalankan Studio di browser dan VPC Amazon target. Ini diperlukan karena UI Studio memanggil AWS titik akhir menggunakan panggilan API dengan kredensi sementara AWS . Kredensyal sementara ini terkait dengan peran eksekusi profil pengguna yang dicatat. Jika domain dikonfigurasi dalam `VpcOnly` mode di jaringan lokal, peran eksekusi mungkin menentukan kondisi kebijakan IAM yang menerapkan eksekusi panggilan API AWS layanan hanya melalui titik akhir Amazon VPC yang dikonfigurasi.Hal ini menyebabkan panggilan API yang dijalankan dari UI Studio gagal. Sebaiknya selesaikan ini menggunakan [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)koneksi [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)atau.
**catatan**
Untuk pelanggan yang bekerja dalam mode VPC, firewall perusahaan dapat menyebabkan masalah koneksi dengan Studio atau aplikasi. Lakukan pemeriksaan berikut jika Anda mengalami salah satu masalah ini saat menggunakan Studio dari belakang firewall.
Verifikasi bahwa URL Studio dan URLs untuk semua aplikasi Anda ada di daftar izin jaringan Anda. Contoh:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Verifikasi bahwa koneksi websocket tidak diblokir. Jupyter menggunakan soket web.
**Untuk informasi selengkapnya**
+ [Grup keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md)
+ [VPC dengan subnet publik dan pribadi (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Hubungkan notebook Studio di VPC ke sumber daya eksternal
Topik berikut memberikan informasi tentang cara menghubungkan Studio Notebook di VPC ke sumber daya eksternal.
## Komunikasi default dengan internet
Secara default, SageMaker Studio menyediakan antarmuka jaringan yang memungkinkan komunikasi dengan internet melalui VPC yang dikelola oleh SageMaker AI. Lalu lintas ke AWS layanan, seperti Amazon S3 dan CloudWatch, melewati gateway internet. Lalu lintas yang mengakses runtime SageMaker API dan SageMaker AI juga melewati gateway internet. Lalu lintas antara domain dan volume Amazon EFS melewati VPC yang Anda identifikasi saat Anda onboard ke Studio atau dipanggil API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Diagram berikut menunjukkan konfigurasi default.
![\[SageMaker Diagram VPC Studio yang menggambarkan penggunaan akses internet langsung.\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## `VPC only`komunikasi dengan internet
Untuk menghentikan SageMaker AI menyediakan akses internet ke notebook Studio Anda, nonaktifkan akses internet dengan menentukan jenis akses `VPC only` jaringan. Tentukan jenis akses jaringan ini saat Anda [onboard ke Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) atau panggil [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Akibatnya, Anda tidak akan dapat menjalankan notebook Studio kecuali:
+ VPC Anda memiliki titik akhir antarmuka ke SageMaker API dan runtime, atau gateway NAT dengan akses internet
+ grup keamanan Anda mengizinkan koneksi keluar
Diagram berikut menunjukkan konfigurasi untuk menggunakan mode VPC saja.
![\[SageMaker Diagram VPC Studio yang menggambarkan penggunaan mode VPC saja.\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Persyaratan untuk menggunakan `VPC only` mode
Saat Anda memilih`VpcOnly`, ikuti langkah-langkah ini:
1. Anda harus menggunakan subnet pribadi saja. Anda tidak dapat menggunakan subnet publik dalam `VpcOnly` mode.
1. Pastikan subnet Anda memiliki jumlah alamat IP yang diperlukan. Jumlah yang diharapkan dari alamat IP yang dibutuhkan per pengguna dapat bervariasi berdasarkan kasus penggunaan. Kami merekomendasikan antara 2 dan 4 alamat IP per pengguna. Total kapasitas alamat IP untuk domain Studio adalah jumlah alamat IP yang tersedia untuk setiap subnet yang disediakan saat domain dibuat. Pastikan bahwa penggunaan alamat IP Anda tidak lebih dari kapasitas yang didukung oleh jumlah subnet yang Anda berikan. Selain itu, menggunakan subnet yang didistribusikan di banyak zona ketersediaan dapat membantu ketersediaan alamat IP. Untuk informasi selengkapnya, lihat [ukuran VPC dan subnet](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) untuk. IPv4
**catatan**
Anda hanya dapat mengonfigurasi subnet dengan VPC penyewaan default di mana instans Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancy VPCs, lihat [Instans Khusus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
1.
**Awas**
Saat menggunakan `VpcOnly` mode, Anda sebagian memiliki konfigurasi jaringan untuk domain. Kami merekomendasikan praktik keamanan terbaik untuk menerapkan izin hak istimewa terkecil ke akses masuk dan keluar yang disediakan aturan grup keamanan. Konfigurasi aturan masuk yang terlalu permisif dapat memungkinkan pengguna dengan akses ke VPC untuk berinteraksi dengan aplikasi profil pengguna lain tanpa otentikasi.
Siapkan satu atau beberapa grup keamanan dengan aturan masuk dan keluar yang memungkinkan lalu lintas berikut:
+ [Lalu lintas NFS melalui TCP pada port 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) antara domain dan volume Amazon EFS.
+ [Lalu lintas TCP dalam grup keamanan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Ini diperlukan untuk konektivitas antara Jupyter Server aplikasi dan Kernel Gateway aplikasi. Anda harus mengizinkan akses ke setidaknya port dalam jangkauan`8192-65535`.
Buat grup keamanan yang berbeda untuk setiap profil pengguna dan tambahkan akses masuk dari grup keamanan yang sama. Kami tidak menyarankan untuk menggunakan kembali grup keamanan tingkat domain untuk profil pengguna. Jika grup keamanan tingkat domain memungkinkan akses masuk ke dirinya sendiri, semua aplikasi dalam domain memiliki akses ke semua aplikasi lain di domain.
1. Jika Anda ingin mengizinkan akses internet, Anda harus menggunakan [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) dengan akses ke internet, misalnya melalui [gateway internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Untuk menghapus akses internet, [buat antarmuka VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) untuk memungkinkan Studio mengakses layanan berikut dengan nama layanan yang sesuai. Anda juga harus mengaitkan grup keamanan untuk VPC Anda dengan titik akhir ini.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker Runtime AI:`com.amazonaws.region.sagemaker.runtime`. Ini diperlukan untuk menjalankan notebook Studio dan untuk melatih dan meng-host model.
+ Amazon S3:. `com.amazonaws.region.s3`
+ Untuk menggunakan SageMaker Proyek:`com.amazonaws.region.servicecatalog`.
+ AWS Layanan lain yang Anda butuhkan.
Jika Anda menggunakan [SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) untuk menjalankan pekerjaan pelatihan jarak jauh, Anda juga harus membuat endpoint Amazon VPC berikut.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:`com.amazonaws.region.logs`. Ini diperlukan untuk memungkinkan SageMaker Python SDK mendapatkan status pekerjaan pelatihan jarak jauh. Amazon CloudWatch
**catatan**
Untuk pelanggan yang bekerja dalam mode VPC, firewall perusahaan dapat menyebabkan masalah koneksi dengan SageMaker Studio atau antara dan JupyterServer KernelGateway Lakukan pemeriksaan berikut jika Anda mengalami salah satu masalah ini saat menggunakan SageMaker Studio dari belakang firewall.
Periksa apakah URL Studio ada di daftar yang diizinkan jaringan Anda.
Periksa apakah koneksi websocket tidak diblokir. Jupyter menggunakan websocket di bawah tenda. Jika KernelGateway aplikasi ini InService, JupyterServer mungkin tidak dapat terhubung ke KernelGateway. Anda akan melihat masalah ini saat membuka Terminal Sistem juga.
**Untuk informasi selengkapnya**
+ [Mengamankan konektivitas Amazon SageMaker Studio menggunakan VPC pribadi](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Grup keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md)
+ [VPC dengan subnet publik dan pribadi (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Hubungkan Instance Notebook di VPC ke Sumber Daya Eksternal
Topik berikut memberikan informasi tentang cara menghubungkan instance notebook Anda di VPC ke sumber daya eksternal.
## Komunikasi default dengan internet
Ketika notebook Anda memungkinkan *akses internet langsung*, SageMaker AI menyediakan antarmuka jaringan yang memungkinkan notebook untuk berkomunikasi dengan internet melalui VPC yang dikelola oleh SageMaker AI. Lalu lintas dalam CIDR VPC Anda melewati elastic network interface yang dibuat di VPC Anda. Semua lalu lintas lainnya melewati antarmuka jaringan yang dibuat oleh SageMaker AI, yang pada dasarnya melalui internet publik. Lalu lintas ke titik akhir VPC gateway seperti Amazon S3 dan DynamoDB melewati internet publik, sementara lalu lintas ke antarmuka titik akhir antarmuka VPC masih melalui VPC Anda. Jika Anda ingin menggunakan titik akhir VPC gateway, Anda mungkin ingin menonaktifkan akses internet langsung.
## Komunikasi khusus VPC dengan internet
Untuk menonaktifkan akses internet langsung, Anda dapat menentukan VPC untuk instance notebook Anda. Dengan demikian, Anda mencegah SageMaker AI menyediakan akses internet ke instance notebook Anda. Akibatnya, instance notebook tidak dapat melatih atau meng-host model kecuali VPC Anda memiliki titik akhir antarmuka (AWS PrivateLink) atau gateway NAT dan grup keamanan Anda mengizinkan koneksi keluar.
Untuk informasi tentang membuat titik akhir antarmuka VPC yang akan digunakan AWS PrivateLink untuk instance notebook Anda, lihat. [Connect ke Instance Notebook Melalui Endpoint Antarmuka VPC](notebook-interface-endpoint.md) Untuk informasi tentang menyiapkan gateway NAT untuk VPC Anda, lihat [VPC dengan Subnet Publik dan Pribadi (NAT) di](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) Panduan Pengguna Amazon Virtual Private *Cloud*. Untuk informasi tentang grup keamanan, lihat [Grup Keamanan untuk VPC Anda](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Untuk informasi selengkapnya tentang konfigurasi jaringan di setiap mode jaringan dan mengonfigurasi jaringan di lokasi, lihat Memahami [konfigurasi jaringan instans SageMaker notebook Amazon](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/) dan opsi perutean lanjutan.
**Awas**
Ketika Anda menggunakan VPC untuk instance notebook Anda, Anda sebagian memiliki konfigurasi jaringan untuk instance tersebut. Sebagai praktik keamanan terbaik, kami menyarankan Anda menerapkan izin hak istimewa terkecil ke akses masuk dan keluar yang Anda izinkan dengan aturan grup keamanan Anda. Jika Anda menerapkan konfigurasi aturan masuk yang terlalu permisif, maka pengguna yang memiliki akses ke VPC Anda dapat mengakses Notebook Jupyter Anda tanpa mengautentikasi.
## Instans Keamanan dan Notebook Bersama
Sebuah instance SageMaker notebook dirancang untuk bekerja paling baik bagi pengguna individu. Ini dirancang untuk memberikan ilmuwan data dan pengguna lain kekuatan paling besar untuk mengelola lingkungan pengembangan mereka.
Pengguna instance notebook memiliki akses root untuk menginstal paket dan perangkat lunak terkait lainnya. Kami menyarankan Anda untuk melakukan penilaian saat memberikan individu akses ke instans notebook yang dilampirkan ke VPC yang berisi informasi sensitif. Misalnya, Anda dapat memberikan akses pengguna ke instance notebook dengan kebijakan IAM dengan memberi mereka kemampuan untuk membuat URL buku catatan yang telah ditetapkan sebelumnya, seperti yang ditunjukkan dalam contoh berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------
# Jalankan Kontainer Pelatihan dan Inferensi dalam Mode Bebas Internet
SageMaker Pelatihan AI dan wadah inferensi yang diterapkan diaktifkan internet secara default. Ini memungkinkan kontainer untuk mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. Namun, ini dapat memberikan jalan untuk akses tidak sah ke data Anda. Misalnya, pengguna atau kode jahat yang tidak sengaja Anda instal di wadah (dalam bentuk pustaka kode sumber yang tersedia untuk umum) dapat mengakses data Anda dan mentransfernya ke host jarak jauh.
Jika Anda menggunakan VPC Amazon dengan menentukan nilai `VpcConfig` parameter saat menelepon [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), atau [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), Anda dapat melindungi data dan sumber daya dengan mengelola grup keamanan dan membatasi akses internet dari VPC Anda. Namun, ini datang dengan biaya konfigurasi jaringan tambahan, dan memiliki risiko mengkonfigurasi jaringan Anda secara tidak benar. Jika Anda tidak ingin SageMaker AI menyediakan akses jaringan eksternal ke wadah pelatihan atau inferensi Anda, Anda dapat mengaktifkan isolasi jaringan.
## Isolasi Jaringan
Anda dapat mengaktifkan isolasi jaringan saat membuat pekerjaan atau model pelatihan dengan menyetel nilai `EnableNetworkIsolation` parameter `True` saat Anda menelepon [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), atau [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
**catatan**
Isolasi jaringan diperlukan untuk menjalankan pekerjaan pelatihan dan model menggunakan sumber daya dari AWS Marketplace. Untuk keamanan tambahan, AWS Marketplace gambar berjalan dalam VPC Amazon. Mereka hanya memiliki akses ke data dalam sistem file lokal mereka.
Saat Anda mengaktifkan isolasi jaringan, wadah pelatihan dan inferensi Anda tidak dapat melakukan panggilan jaringan keluar apa pun ke layanan apa pun, termasuk Amazon S3. Tidak ada AWS kredensyal yang tersedia untuk lingkungan runtime kontainer. Untuk pekerjaan pelatihan dengan beberapa contoh, lalu lintas masuk dan keluar jaringan terbatas pada komunikasi antara rekan-rekan kontainer pelatihan.
SageMaker AI masih menangani semua operasi pengunduhan dan pengunggahan Amazon S3 yang diperlukan menggunakan peran eksekusi SageMaker AI Anda. Ini terjadi terlepas dari wadah pelatihan dan inferensi Anda, memastikan bahwa data pelatihan dan artefak model Anda masih dapat diakses sambil mempertahankan isolasi wadah.
Kontainer SageMaker AI terkelola berikut tidak mendukung isolasi jaringan karena memerlukan akses ke Amazon S3:
+ Chainer
+ SageMaker Pembelajaran Penguatan AI
### Isolasi jaringan dengan VPC
Isolasi jaringan dapat digunakan bersama dengan VPC. Dalam skenario ini, pengunduhan dan pengunggahan data pelanggan dan artefak model dirutekan melalui subnet VPC Anda. Namun, wadah pelatihan dan inferensi itu sendiri terus diisolasi dari jaringan, dan tidak memiliki akses ke sumber daya apa pun di dalam VPC Anda atau di internet.
# Connect ke SageMaker AI Dalam VPC Anda
Anda dapat terhubung langsung ke SageMaker API atau ke Amazon SageMaker Runtime melalui [titik akhir antarmuka](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) di cloud pribadi virtual (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan SageMaker AI API atau Runtime dilakukan sepenuhnya dan aman di dalam jaringan. AWS
## Connect ke SageMaker AI melalui titik akhir antarmuka VPC
SageMaker API dan SageMaker AI Runtime mendukung titik akhir antarmuka [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) yang didukung oleh. [AWS PrivateLink](https://aws.amazon.com/privatelink) Setiap titik akhir VPC diwakili oleh satu atau lebih [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dengan alamat IP pribadi di subnet VPC Anda. Misalnya, aplikasi di dalam VPC Anda digunakan AWS PrivateLink untuk berkomunikasi dengan SageMaker AI Runtime. SageMaker AI Runtime pada gilirannya berkomunikasi dengan titik akhir SageMaker AI. Menggunakan AWS PrivateLink memungkinkan Anda untuk memanggil titik akhir SageMaker AI Anda dari dalam VPC Anda, seperti yang ditunjukkan pada diagram berikut.
![\[\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/security-vpc-SM.png)
Titik akhir antarmuka VPC menghubungkan VPC Anda langsung ke SageMaker API atau SageMaker AI Runtime menggunakan AWS PrivateLink tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak perlu terhubung ke internet publik untuk berkomunikasi dengan API SageMaker atau AI SageMaker Runtime.
Anda dapat membuat titik akhir AWS PrivateLink antarmuka untuk terhubung ke SageMaker AI atau ke SageMaker AI Runtime menggunakan Konsol Manajemen AWS atau AWS Command Line Interface ()AWS CLI. Untuk petunjuk, lihat [Mengakses AWS layanan menggunakan titik akhir VPC antarmuka](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Jika Anda belum mengaktifkan nama host Sistem Nama Domain (DNS) pribadi untuk titik akhir VPC Anda, *setelah Anda membuat titik akhir VPC, tentukan URL titik akhir* internet ke API atau AI Runtime. SageMaker SageMaker Contoh kode menggunakan AWS CLI perintah untuk menentukan `endpoint-url` parameter berikut.
```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Jika Anda mengaktifkan nama host DNS pribadi untuk titik akhir VPC Anda, Anda tidak perlu menentukan URL titik akhir karena nama host default (https://api.sagemaker. *Region*.amazon.com) menyelesaikan ke titik akhir VPC Anda. Demikian pula, nama host SageMaker AI Runtime DNS default (https://runtime.sagemaker. *Region*.amazonaws.com) juga menyelesaikan ke titik akhir VPC Anda.
SageMaker [API dan SageMaker AI Runtime mendukung titik akhir VPC di semua Wilayah AWS tempat [Amazon SageMaker VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) dan AI tersedia.](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) SageMaker AI mendukung panggilan ke semua yang ada [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)di dalam VPC Anda. Jika Anda menggunakan `AuthorizedUrl` dari [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html)perintah, lalu lintas Anda akan melalui internet publik. Anda tidak hanya dapat menggunakan titik akhir VPC untuk mengakses URL yang telah ditetapkan sebelumnya, permintaan harus melalui gateway internet.
Secara default, pengguna Anda dapat membagikan URL yang telah ditetapkan sebelumnya kepada orang-orang di luar jaringan perusahaan Anda. Untuk keamanan tambahan, Anda harus menambahkan izin IAM untuk membatasi URL hanya dapat digunakan dalam jaringan Anda. Untuk informasi tentang izin IAM, lihat [Cara AWS PrivateLink kerja dengan](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html) IAM.
**catatan**
Saat menyiapkan titik akhir antarmuka VPC untuk layanan SageMaker AI Runtime (https://runtime.sagemaker. `Region`.amazonaws.com), Anda harus memastikan bahwa titik akhir antarmuka VPC diaktifkan di Availability Zone klien Anda agar resolusi DNS pribadi berfungsi. Jika tidak, Anda mungkin melihat kegagalan DNS saat mencoba menyelesaikan URL.
Untuk mempelajari selengkapnya AWS PrivateLink, lihat [AWS PrivateLink dokumentasi](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink). Lihat [AWS PrivateLink Harga](https://aws.amazon.com/privatelink/pricing/) untuk harga titik akhir VPC. Untuk mempelajari selengkapnya tentang VPC dan titik akhir, lihat [Amazon VPC](https://aws.amazon.com/vpc/). Untuk informasi tentang cara menggunakan AWS Identity and Access Management kebijakan berbasis identitas untuk membatasi akses ke SageMaker API dan SageMaker AI Runtime, lihat. [Kontrol akses ke SageMaker AI API dengan menggunakan kebijakan berbasis identitas](security_iam_id-based-policy-examples.md#api-access-policy)
## Menggunakan SageMaker pelatihan dan hosting dengan sumber daya di dalam VPC Anda
SageMaker AI menggunakan peran eksekusi Anda untuk mengunduh dan mengunggah informasi dari bucket Amazon S3 dan Amazon Elastic Container Registry (Amazon ECR) Registry ECR), terpisah dari wadah pelatihan atau inferensi Anda. Jika Anda memiliki sumber daya yang berada di dalam VPC Anda, Anda masih dapat memberikan akses SageMaker AI ke sumber daya tersebut. Bagian berikut menjelaskan cara membuat sumber daya Anda tersedia untuk SageMaker AI dengan atau tanpa isolasi jaringan.
### Tanpa isolasi jaringan diaktifkan
Jika Anda belum mengatur isolasi jaringan pada pekerjaan atau model pelatihan Anda, SageMaker AI dapat mengakses sumber daya menggunakan salah satu metode berikut.
+ SageMaker pelatihan dan wadah inferensi yang diterapkan dapat mengakses internet secara default. SageMaker Kontainer AI dapat mengakses layanan dan sumber daya eksternal di internet publik sebagai bagian dari beban kerja pelatihan dan inferensi Anda. SageMaker Kontainer AI tidak dapat mengakses sumber daya di dalam VPC Anda tanpa konfigurasi VPC, seperti yang ditunjukkan pada ilustrasi berikut.
![\[\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Gunakan konfigurasi VPC untuk berkomunikasi dengan sumber daya di dalam VPC Anda melalui elastic network interface (ENI). Komunikasi antara wadah dan sumber daya di VPC Anda berlangsung dengan aman di dalam jaringan VPC Anda, seperti yang ditunjukkan pada ilustrasi berikut. Dalam hal ini, Anda mengelola akses jaringan ke sumber daya VPC dan internet Anda.
![\[\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/security-vpc-config.png)
### Dengan isolasi jaringan
Jika Anda menggunakan isolasi jaringan, wadah SageMaker AI tidak dapat berkomunikasi dengan sumber daya di dalam VPC Anda atau melakukan panggilan jaringan apa pun, seperti yang ditunjukkan pada ilustrasi berikut. Jika Anda menyediakan konfigurasi VPC, operasi pengunduhan dan pengunggahan akan dijalankan melalui VPC Anda. Untuk informasi selengkapnya tentang hosting dan pelatihan dengan isolasi jaringan saat menggunakan VPC, lihat. [Isolasi Jaringan](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation)
![\[\]](http://docs.aws.amazon.com/id_id/sagemaker/latest/dg/images/security-network-isolation-no-config.png)
## Membuat Kebijakan Titik Akhir VPC untuk AI SageMaker
Anda dapat membuat kebijakan untuk titik akhir VPC Amazon untuk SageMaker AI untuk menentukan hal berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol Akses ke Layanan dengan VPC Endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
**catatan**
Kebijakan titik akhir VPC tidak didukung untuk titik akhir runtime SageMaker AI Federal Information Processing Standard (FIPS) untuk. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir antarmuka VPC diizinkan untuk memanggil titik akhir yang dihosting AI bernama. SageMaker `myEndpoint`
```
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}
```
Dalam contoh ini, berikut ini ditolak:
+ Tindakan SageMaker API lainnya, seperti `sagemaker:CreateEndpoint` dan`sagemaker:CreateTrainingJob`.
+ Memanggil titik akhir yang dihosting SageMaker AI selain. `myEndpoint`
**catatan**
Dalam contoh ini, pengguna masih dapat mengambil tindakan SageMaker API lain dari luar VPC. Untuk informasi tentang cara membatasi panggilan API ke panggilan dari dalam VPC, lihat. [Kontrol akses ke SageMaker AI API dengan menggunakan kebijakan berbasis identitas](security_iam_id-based-policy-examples.md#api-access-policy)
## Membuat Kebijakan Titik Akhir VPC untuk Toko Fitur Amazon SageMaker
Untuk membuat Endpoint VPC untuk Amazon SageMaker Feature Store, gunakan templat endpoint berikut, ganti template Anda dan: *VPC\$1Endpoint\$1ID.api* *Region*
`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`
# Connect ke Amazon SageMaker Studio dan Studio Classic Melalui Antarmuka VPC Endpoint
Anda dapat terhubung ke Amazon SageMaker Studio dan Amazon SageMaker Studio Classic dari [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (Amazon VPC) melalui [titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) di VPC Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir VPC antarmuka (titik akhir antarmuka), komunikasi antara VPC dan Studio atau Studio Classic dilakukan sepenuhnya dan aman di dalam jaringan. AWS
Studio dan Studio Classic mendukung titik akhir antarmuka yang didukung oleh [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html). Setiap titik akhir antarmuka diwakili oleh satu atau lebih [antarmuka jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dengan alamat IP pribadi di subnet VPC Anda.
Studio dan Studio Classic mendukung titik akhir antarmuka di semua AWS Wilayah di mana [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/pricing/) dan [Amazon VPC](https://aws.amazon.com/vpc/pricing/) tersedia.
**Topics**
+ [Buat Endpoint VPC](#studio-interface-endpoint-create)
+ [Membuat Kebijakan Titik Akhir VPC untuk Studio atau Studio Classic](#studio-private-link-policy)
+ [Izinkan Akses Hanya dari Dalam VPC Anda](#studio-private-link-restrict)
## Buat Endpoint VPC
Anda dapat membuat titik akhir antarmuka untuk terhubung ke Studio atau Studio Classic dengan AWS konsol atau AWS Command Line Interface (AWS CLI). Untuk instruksi, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di VPC yang ingin Anda sambungkan ke Studio dan Studio Classic.
Saat Anda membuat titik akhir antarmuka, pastikan bahwa grup keamanan di titik akhir Anda mengizinkan akses masuk untuk lalu lintas HTTPS dari grup keamanan yang terkait dengan Studio dan Studio Classic. Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**catatan**
Selain membuat titik akhir antarmuka untuk terhubung ke Studio dan Studio Classic, buat titik akhir antarmuka untuk terhubung ke Amazon SageMaker API. Ketika pengguna memanggil [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)untuk mendapatkan URL untuk terhubung ke Studio dan Studio Classic, panggilan itu melewati titik akhir antarmuka yang digunakan untuk terhubung ke SageMaker API.
Saat Anda membuat titik akhir antarmuka, tentukan **aws.sagemaker.*Region*.studio** sebagai nama layanan untuk Studio atau Studio Classic. Setelah Anda membuat titik akhir antarmuka, aktifkan DNS pribadi untuk titik akhir Anda. Saat Anda terhubung ke Studio atau Studio Classic dari dalam VPC menggunakan SageMaker API, the AWS CLI, atau konsol, Anda terhubung melalui titik akhir antarmuka alih-alih internet publik. Anda juga perlu menyiapkan DNS khusus dengan zona host pribadi untuk titik akhir VPC Amazon agar Studio atau Studio Classic dapat mengakses API menggunakan titik SageMaker akhir daripada menggunakan `api.sagemaker.$region.amazonaws.com` URL titik akhir VPC. Untuk petunjuk cara menyiapkan zona host pribadi, lihat [Bekerja dengan zona yang dihosting pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html).
## Membuat Kebijakan Titik Akhir VPC untuk Studio atau Studio Classic
Anda dapat melampirkan kebijakan titik akhir VPC Amazon ke titik akhir VPC antarmuka yang Anda gunakan untuk menyambung ke Studio atau Studio Classic. Kebijakan endpoint mengontrol akses ke Studio atau Studio Classic. Anda dapat menentukan sebagai berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk menggunakan titik akhir VPC dengan Studio atau Studio Classic, kebijakan endpoint Anda harus mengizinkan `CreateApp` pengoperasian pada jenis aplikasi. KernelGateway Ini memungkinkan lalu lintas yang diarahkan ke melalui titik akhir VPC untuk memanggil API. `CreateApp` Contoh berikut kebijakan titik akhir VPC menunjukkan cara mengizinkan operasi. `CreateApp`
```
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}
```
Untuk informasi selengkapnya, lihat [Mengendalikan akses ke layanan dengan VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan untuk mengakses profil pengguna di domain SageMaker AI dengan ID domain yang ditentukan. Akses ke domain lain ditolak.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}
```
## Izinkan Akses Hanya dari Dalam VPC Anda
Pengguna di luar VPC Anda dapat terhubung ke Studio atau Studio Classic melalui internet bahkan jika Anda menyiapkan titik akhir antarmuka di VPC Anda.
Untuk mengizinkan akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management (IAM) untuk efek itu. Tambahkan kebijakan tersebut ke setiap pengguna, grup, atau peran yang digunakan untuk mengakses Studio atau Studio Classic. Fitur ini hanya didukung saat menggunakan mode IAM untuk otentikasi, dan tidak didukung dalam mode Pusat Identitas IAM. Contoh berikut menunjukkan cara membuat kebijakan tersebut.
**penting**
Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu contoh berikut, pengguna tidak dapat mengakses Studio atau Studio Classic atau yang ditentukan SageMaker APIs melalui konsol SageMaker AI. Untuk mengakses Studio atau Studio Classic, pengguna harus menggunakan URL yang telah ditetapkan sebelumnya atau menelepon SageMaker APIs langsung.
**Contoh 1: Izinkan koneksi hanya dalam subnet dari titik akhir antarmuka**
Kebijakan berikut hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
**Contoh 2: Izinkan koneksi hanya melalui titik akhir antarmuka menggunakan `aws:sourceVpce`**
Kebijakan berikut hanya mengizinkan koneksi ke koneksi yang dibuat melalui titik akhir antarmuka yang ditentukan oleh kunci `aws:sourceVpce` kondisi. Misalnya, titik akhir antarmuka pertama dapat memungkinkan akses melalui konsol SageMaker AI. Titik akhir antarmuka kedua dapat memungkinkan akses melalui SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Kebijakan ini mencakup [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html)tindakan. Biasanya Anda menelepon `DescribeUserProfile` untuk memastikan bahwa status profil pengguna `InService` sebelum Anda mencoba untuk terhubung ke domain. Contoh:
```
aws sagemaker describe-user-profile \
--domain-id domain-id \
--user-profile-name profile-name
```
Respons:
```
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}
```
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name
```
Respons:
```
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}
```
Untuk kedua panggilan ini, jika Anda menggunakan versi AWS SDK yang dirilis sebelum 13 Agustus 2018, Anda harus menentukan URL titik akhir dalam panggilan. Misalnya, contoh berikut menunjukkan panggilan ke`create-presigned-domain-url`:
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name \
--endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
```
**Contoh 3: Izinkan koneksi dari alamat IP menggunakan `aws:SourceIp`**
Kebijakan berikut mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan menggunakan kunci `aws:SourceIp` kondisi.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Contoh 4: Izinkan koneksi dari alamat IP melalui titik akhir antarmuka menggunakan `aws:VpcSourceIp`**
Jika Anda mengakses Studio atau Studio Classic melalui titik akhir antarmuka, Anda dapat menggunakan tombol `aws:VpcSourceIp` kondisi untuk mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan dalam subnet tempat Anda membuat titik akhir antarmuka seperti yang ditunjukkan dalam kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Menghubungkan ke server MLflow pelacak melalui Endpoint VPC Antarmuka
Server MLflow pelacakan berjalan di Amazon Virtual Private Cloud yang dikelola oleh Amazon SageMaker AI. Anda dapat terhubung ke server MLflow pelacak dari titik akhir di VPC Anda sendiri. Permintaan Anda ke server pelacak tidak terpapar ke internet publik. Untuk informasi selengkapnya tentang menghubungkan VPC Anda ke SageMaker AI, lihat. [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md)
**Topics**
+ [Buat Endpoint VPC](mlflow-interface-endpoint-create.md)
+ [Membuat Kebijakan Titik Akhir VPC untuk AI SageMaker MLflow](mlflow-private-link-policy.md)
+ [Izinkan Akses hanya dari dalam VPC Anda](mlflow-private-link-restrict.md)
# Buat Endpoint VPC
Anda dapat membuat titik akhir antarmuka untuk terhubung ke SageMaker AI MLflow. Untuk instruksi, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di VPC yang ingin Anda sambungkan ke AI. SageMaker MLflow
Saat Anda membuat titik akhir antarmuka, pastikan bahwa grup keamanan di titik akhir Anda mengizinkan akses masuk dan keluar untuk lalu lintas HTTPS. Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan dengan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**catatan**
Selain membuat titik akhir antarmuka untuk terhubung ke SageMaker AI MLflow, buat titik akhir antarmuka untuk terhubung ke Amazon SageMaker API. Ketika pengguna memanggil [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)untuk mendapatkan URL untuk terhubung ke SageMaker AI MLflow, panggilan itu melewati titik akhir antarmuka yang digunakan untuk terhubung ke SageMaker API.
Saat Anda membuat titik akhir antarmuka, tentukan **aws.sagemaker.*Wilayah AWS*.experiments** sebagai nama layanan. Setelah Anda membuat titik akhir antarmuka, aktifkan DNS pribadi untuk titik akhir Anda. Saat Anda terhubung ke SageMaker AI MLflow dari dalam VPC menggunakan SageMaker Python SDK, Anda terhubung melalui titik akhir antarmuka alih-alih internet publik.
Di dalamnya Konsol Manajemen AWS, Anda dapat menggunakan prosedur berikut untuk membuat titik akhir.
**Untuk membuat titik akhir**
1. Arahkan ke [konsol Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).
1. Arahkan ke **Endpoint**.
1. Pilih **Buat titik akhir**.
1. (Opsional) Untuk **Nama (tag)**, tentukan nama untuk titik akhir.
1. Di bilah pencarian di bawah **Layanan**, tentukan **eksperimen**.
1. Pilih endponit yang Anda buat.
1. Untuk **VPC**, tentukan nama VPC.
1. Pilih **Buat titik akhir**.
# Membuat Kebijakan Titik Akhir VPC untuk AI SageMaker MLflow
Anda dapat melampirkan kebijakan titik akhir VPC Amazon ke titik akhir VPC antarmuka yang Anda gunakan untuk terhubung ke AI. SageMaker MLflow Kebijakan endpoint mengontrol akses ke MLflow. Anda dapat menentukan sebagai berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengendalikan akses ke layanan dengan VPC endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Contoh kebijakan titik akhir VPC berikut ini menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan mengakses server MLflow pelacakan yang Anda tentukan. Akses ke server pelacak lainnya ditolak.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Wilayah AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Izinkan Akses hanya dari dalam VPC Anda
Pengguna di luar VPC Anda dapat terhubung ke SageMaker AI MLflow atau melalui internet bahkan jika Anda mengatur titik akhir antarmuka di VPC Anda.
Untuk mengizinkan akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management (IAM) untuk efek itu. Tambahkan kebijakan itu ke setiap pengguna, grup, atau peran yang digunakan untuk mengakses SageMaker AI MLflow. Fitur ini hanya didukung saat menggunakan mode IAM untuk otentikasi, dan tidak didukung dalam mode Pusat Identitas IAM. Contoh berikut menunjukkan cara membuat kebijakan tersebut.
**penting**
Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu contoh berikut, pengguna tidak dapat mengakses SageMaker AI MLflow melalui yang ditentukan SageMaker APIs melalui konsol SageMaker AI. Untuk mengakses SageMaker AI MLflow, pengguna harus menggunakan URL yang telah ditentukan sebelumnya atau menelepon SageMaker APIs langsung.
**Contoh 1: Izinkan koneksi hanya dalam subnet dari titik akhir antarmuka**
Kebijakan berikut hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Contoh 2: Izinkan koneksi hanya melalui titik akhir antarmuka menggunakan `aws:sourceVpce`**
Kebijakan berikut hanya mengizinkan koneksi ke koneksi yang dibuat melalui titik akhir antarmuka yang ditentukan oleh kunci `aws:sourceVpce` kondisi. Misalnya, titik akhir antarmuka pertama dapat memungkinkan akses melalui konsol SageMaker AI. Titik akhir antarmuka kedua dapat memungkinkan akses melalui SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Contoh 3: Izinkan koneksi dari alamat IP menggunakan `aws:SourceIp`**
Kebijakan berikut mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan menggunakan kunci `aws:SourceIp` kondisi.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Contoh 4: Izinkan koneksi dari alamat IP melalui titik akhir antarmuka menggunakan `aws:VpcSourceIp`**
Jika Anda mengakses SageMaker AI MLflow melalui titik akhir antarmuka, Anda dapat menggunakan tombol `aws:VpcSourceIp` kondisi untuk mengizinkan koneksi hanya dari rentang alamat IP yang ditentukan dalam subnet tempat Anda membuat titik akhir antarmuka seperti yang ditunjukkan dalam kebijakan berikut:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Connect ke Instance Notebook Melalui Endpoint Antarmuka VPC
Anda dapat terhubung ke instance notebook dari VPC Anda melalui [titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Virtual Private Cloud (VPC) alih-alih terhubung melalui internet publik. Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan instance notebook dilakukan sepenuhnya dan aman di dalam jaringan. AWS
SageMaker instance notebook mendukung titik akhir antarmuka [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) yang didukung oleh. [AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Setiap titik akhir VPC diwakili oleh satu atau lebih [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) dengan alamat IP pribadi di subnet VPC Anda.
**catatan**
Sebelum Anda membuat titik akhir VPC antarmuka untuk terhubung ke instance notebook, buat titik akhir VPC antarmuka untuk terhubung ke API. SageMaker Dengan begitu, saat pengguna menelepon [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html)untuk mendapatkan URL untuk terhubung ke instance notebook, panggilan itu juga melewati titik akhir VPC antarmuka. Untuk informasi, lihat [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md).
Anda dapat membuat titik akhir antarmuka untuk terhubung ke instance notebook Anda dengan perintah Konsol Manajemen AWS or AWS Command Line Interface (AWS CLI). Untuk instruksi, lihat [Membuat Titik Akhir Antarmuka](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint). Pastikan Anda membuat titik akhir antarmuka untuk semua subnet di VPC yang ingin Anda sambungkan ke instance notebook.
Saat Anda membuat titik akhir antarmuka, tentukan **aws.sagemaker. *Region*.notebook** sebagai nama layanan. Setelah Anda membuat titik akhir VPC, aktifkan DNS pribadi untuk titik akhir VPC Anda. Siapa pun yang menggunakan SageMaker API AWS CLI, the, atau konsol untuk terhubung ke instance notebook dari dalam VPC terhubung ke instance notebook melalui titik akhir VPC alih-alih internet publik.
SageMaker [instance notebook mendukung titik akhir VPC di semua Wilayah AWS tempat [Amazon SageMaker VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) dan AI tersedia.](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region)
**Topics**
+ [Hubungkan Jaringan Pribadi Anda ke VPC Anda](#notebook-private-link-vpn-nbi)
+ [Membuat Kebijakan Titik Akhir VPC untuk SageMaker Instans Notebook AI](#nbi-private-link-policy)
+ [Batasi Akses ke Koneksi dari Dalam VPC Anda](#notebook-private-link-restrict)
## Hubungkan Jaringan Pribadi Anda ke VPC Anda
Untuk terhubung ke instans notebook Anda melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC, atau menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan () atau. AWS Virtual Private Network Site-to-Site VPN Direct Connect Untuk selengkapnya Site-to-Site VPN, lihat [Koneksi VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) di *Panduan Pengguna Amazon Virtual Private Cloud*. Untuk selengkapnya AWS Direct Connect, lihat [Membuat Sambungan](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) di *Panduan Pengguna AWS Direct Connect*.
## Membuat Kebijakan Titik Akhir VPC untuk SageMaker Instans Notebook AI
Anda dapat membuat kebijakan untuk titik akhir VPC Amazon untuk instance SageMaker notebook untuk menentukan hal berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol Akses ke Layanan dengan VPC Endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dalam *Panduan Pengguna Amazon VPC*.
Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir diizinkan untuk mengakses instance notebook bernama. `myNotebookInstance`
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
"Principal": "*"
}
]
}
```
Akses ke instance notebook lainnya ditolak.
## Batasi Akses ke Koneksi dari Dalam VPC Anda
Bahkan jika Anda mengatur titik akhir antarmuka di VPC Anda, individu di luar VPC dapat terhubung ke instance notebook melalui internet.
**penting**
Jika Anda menerapkan kebijakan IAM yang mirip dengan salah satu dari berikut ini, pengguna tidak dapat mengakses instans yang ditentukan SageMaker APIs atau notebook melalui konsol.
Untuk membatasi akses hanya ke koneksi yang dibuat dari dalam VPC Anda, buat kebijakan AWS Identity and Access Management yang membatasi akses hanya ke panggilan yang berasal dari dalam VPC Anda. Kemudian tambahkan kebijakan tersebut ke setiap AWS Identity and Access Management pengguna, grup, atau peran yang digunakan untuk mengakses instance notebook.
**catatan**
Kebijakan ini hanya mengizinkan koneksi ke penelepon dalam subnet tempat Anda membuat titik akhir antarmuka.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Jika Anda ingin membatasi akses ke instance notebook hanya untuk koneksi yang dibuat menggunakan titik akhir antarmuka, gunakan tombol `aws:SourceVpce` kondisi sebagai ganti `aws:SourceVpc:`
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Kedua contoh kebijakan ini mengasumsikan bahwa Anda juga telah membuat titik akhir antarmuka untuk SageMaker API. Untuk informasi selengkapnya, lihat [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md). Pada contoh kedua, salah satu nilai untuk `aws:SourceVpce` adalah ID titik akhir antarmuka untuk instance notebook. Yang lainnya adalah ID titik akhir antarmuka untuk SageMaker API.
Contoh kebijakan di sini termasuk [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html), karena biasanya Anda akan menelepon `DescribeNotebookInstance` untuk memastikan bahwa `NotebookInstanceStatus` ada `InService` sebelum Anda mencoba menghubungkannya. Contoh:
```
aws sagemaker describe-notebook-instance \
--notebook-instance-name myNotebookInstance
{
"NotebookInstanceArn":
"arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
"NotebookInstanceName": "myNotebookInstance",
"NotebookInstanceStatus": "InService",
"Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
"InstanceType": "ml.m4.xlarge",
"RoleArn":
"arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
"LastModifiedTime": 1540334777.501,
"CreationTime": 1523050674.078,
"DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
{
"AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
```
**catatan**
Yang`presigned-notebook-instance-url`,`AuthorizedUrl`, dihasilkan dapat digunakan dari mana saja di internet.
Untuk kedua panggilan ini, jika Anda tidak mengaktifkan nama host DNS pribadi untuk titik akhir VPC Anda, atau jika Anda menggunakan versi AWS SDK yang dirilis sebelum 13 Agustus 2018, Anda harus menentukan URL titik akhir dalam panggilan. Misalnya, panggilan ke `create-presigned-notebook-instance-url` adalah:
```
aws sagemaker create-presigned-notebook-instance-url
--notebook-instance-name myNotebookInstance --endpoint-url
VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
```
## Hubungkan Jaringan Pribadi Anda ke VPC Anda
Untuk memanggil SageMaker API dan SageMaker AI Runtime melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC atau menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan () atau. AWS Virtual Private Network Site-to-Site VPN Direct Connect Untuk selengkapnya Site-to-Site VPN, lihat [Koneksi VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) di *Panduan Pengguna Amazon Virtual Private Cloud*. Untuk selengkapnya AWS Direct Connect, lihat [Membuat Sambungan](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) di *Panduan Pengguna AWS Direct Connect*.
# Berikan Akses SageMaker AI ke Sumber Daya di VPC Amazon Anda
SageMaker AI menjalankan jenis pekerjaan berikut di Amazon Virtual Private Cloud secara default.
+ Pemrosesan
+ Pelatihan
+ Hosting model
+ Transformasi Batch
+ Amazon SageMaker Klarifikasi
+ SageMaker Kompilasi AI
Namun, wadah untuk pekerjaan ini mengakses AWS sumber daya—seperti bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) tempat Anda menyimpan data pelatihan dan artefak model—melalui internet.
Untuk mengontrol akses ke data dan wadah pekerjaan Anda, kami sarankan Anda membuat VPC pribadi dan mengonfigurasinya sehingga tidak dapat diakses melalui internet. Untuk informasi tentang membuat dan mengonfigurasi VPC, [lihat Memulai Dengan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html) di Panduan Pengguna *Amazon* VPC. Menggunakan VPC membantu melindungi wadah dan data pekerjaan Anda karena Anda dapat mengonfigurasi VPC Anda sehingga tidak terhubung ke internet. Menggunakan VPC juga memungkinkan Anda untuk memantau semua lalu lintas jaringan masuk dan keluar dari wadah pekerjaan Anda dengan menggunakan log aliran VPC. Untuk informasi selengkapnya, lihat [Log Alur VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) di *Panduan Pengguna Amazon VPC*.
Anda menentukan konfigurasi VPC pribadi saat membuat pekerjaan dengan menentukan subnet dan grup keamanan. Saat Anda menentukan subnet dan grup keamanan, SageMaker AI membuat *antarmuka jaringan elastis* yang terkait dengan grup keamanan Anda di salah satu subnet. Antarmuka jaringan memungkinkan wadah pekerjaan Anda terhubung ke sumber daya di VPC Anda. Untuk informasi tentang antarmuka jaringan, lihat [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) di Panduan Pengguna Amazon *VPC*.
Anda menentukan konfigurasi VPC dalam `VpcConfig` objek [CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)operasi atau [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)operasi. Menentukan konfigurasi VPC saat Anda membuat pekerjaan pelatihan memberi model Anda akses ke sumber daya dalam VPC Anda.
Menentukan konfigurasi VPC saja tidak mengubah jalur pemanggilan. Untuk terhubung ke Amazon SageMaker AI dalam VPC, buat titik akhir VPC dan panggil. Untuk informasi selengkapnya, lihat [Connect ke SageMaker AI Dalam VPC Anda](interface-vpc-endpoint.md).
**Topics**
+ [Berikan Akses Pekerjaan Pemrosesan SageMaker AI ke Sumber Daya di VPC Amazon Anda](process-vpc.md)
+ [Berikan Akses Pekerjaan Pelatihan SageMaker AI ke Sumber Daya di VPC Amazon Anda](train-vpc.md)
+ [Berikan Akses Titik Akhir yang Dihosting SageMaker AI ke Sumber Daya di VPC Amazon Anda](host-vpc.md)
+ [Berikan Akses Pekerjaan Transformasi Batch ke Sumber Daya di VPC Amazon Anda](batch-vpc.md)
+ [Berikan Amazon SageMaker Clarify Lowongan Akses ke Sumber Daya di Amazon VPC Anda](clarify-vpc.md)
+ [Berikan Akses Pekerjaan Kompilasi SageMaker AI ke Sumber Daya di VPC Amazon Anda](neo-vpc.md)
+ [Berikan Akses Pekerjaan Inferensi Rekomendasi ke Sumber Daya di VPC Amazon Anda](inference-recommender-vpc-access.md)
# Berikan Akses Pekerjaan Pemrosesan SageMaker AI ke Sumber Daya di VPC Amazon Anda
Untuk mengontrol akses ke data dan pekerjaan pemrosesan Anda, buat VPC Amazon dengan subnet pribadi. Untuk informasi tentang membuat dan mengonfigurasi VPC, [lihat Memulai Dengan Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) di Panduan Pengguna *Amazon* VPC.
Anda dapat memantau semua lalu lintas jaringan masuk dan keluar dari wadah pemrosesan Anda dengan menggunakan log aliran VPC. Untuk informasi selengkapnya, lihat [Log Alur VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) di *Panduan Pengguna Amazon VPC*.
Dokumen ini menjelaskan cara menambahkan konfigurasi VPC Amazon untuk memproses pekerjaan.
## Konfigurasikan Pekerjaan Pemrosesan untuk Akses VPC Amazon
Anda mengonfigurasi pekerjaan pemrosesan dengan menentukan subnet dan grup keamanan IDs dalam VPC. Anda tidak perlu menentukan subnet untuk wadah pemrosesan. Amazon SageMaker AI secara otomatis menarik wadah pemrosesan dari Amazon ECR. Untuk informasi selengkapnya tentang memproses kontainer, lihat[Beban kerja transformasi data dengan SageMaker Processing](processing-job.md).
Saat membuat pekerjaan pemrosesan, Anda dapat menentukan subnet dan grup keamanan di VPC menggunakan konsol AI atau API. SageMaker
Untuk menggunakan API, Anda menentukan subnet dan grup keamanan IDs dalam `NetworkConfig.VpcConfig` parameter [ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)operasi. SageMaker AI menggunakan subnet dan detail grup keamanan untuk membuat antarmuka jaringan dan menempelkannya ke wadah pemrosesan. Antarmuka jaringan menyediakan wadah pemrosesan dengan koneksi jaringan dalam VPC Anda. Ini memungkinkan pekerjaan pemrosesan terhubung ke sumber daya yang ada di VPC Anda.
Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke `CreateProcessingJob` operasi:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurasikan VPC Pribadi Anda untuk Pemrosesan AI SageMaker
Saat mengonfigurasi VPC pribadi untuk pekerjaan pemrosesan AI SageMaker Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.
**Topics**
+ [Pastikan Subnet Memiliki Alamat IP yang Cukup](#process-vpc-ip)
+ [Buat Endpoint VPC Amazon S3](#process-vpc-s3)
+ [Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3](#process-vpc-policy)
+ [Konfigurasikan Tabel Rute](#process-vpc-route-table)
+ [Konfigurasikan Grup Keamanan VPC](#process-vpc-groups)
+ [Connect ke Sumber Daya di Luar VPC Anda](#process-vpc-nat)
+ [Pantau Pekerjaan SageMaker Pemrosesan Amazon dengan CloudWatch Log dan Metrik](#process-vpc-cloudwatch)
### Pastikan Subnet Memiliki Alamat IP yang Cukup
Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan pemrosesan. Untuk informasi selengkapnya, lihat [Ukuran VPC dan Subnet di Panduan Pengguna IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC*.
### Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC Anda sehingga wadah pemrosesan tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan wadah pemrosesan mengakses bucket tempat Anda menyimpan data. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html) S3.
**Untuk membuat titik akhir VPC S3:**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Di panel navigasi, pilih **Endpoints, lalu pilih Create Endpoint****
1. Untuk **Nama Layanan**, pilih **com.amazonaws. *region*.s3**, di *region* mana nama wilayah tempat VPC Anda berada.
1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
1. Untuk **Konfigurasi tabel rute**, pilih tabel rute yang akan digunakan oleh titik akhir. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir baru.
1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan apa pun dalam VPC. Pilih **Custom** untuk membatasi akses lebih lanjut. Untuk informasi, lihat [Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3](#process-vpc-policy).
### Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3
Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di VPC Anda. Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir untuk Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari VPC Amazon Anda. Untuk selengkapnya, lihat [Menggunakan Kebijakan Bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Batasi Instalasi Package pada Container Processing
Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah pemrosesan. Jika Anda tidak ingin pengguna menginstal paket dari repositori itu, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Konfigurasikan Tabel Rute
Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) diselesaikan. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan pemrosesan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
### Konfigurasikan Grup Keamanan VPC
Dalam pemrosesan terdistribusi, Anda harus mengizinkan komunikasi antara wadah yang berbeda dalam pekerjaan pemrosesan yang sama. Untuk melakukan itu, konfigurasikan aturan untuk grup keamanan Anda yang memungkinkan koneksi masuk antara anggota grup keamanan yang sama. Untuk informasi selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Connect ke Sumber Daya di Luar VPC Anda
Jika Anda menghubungkan model Anda ke sumber daya di luar VPC tempat mereka berjalan, lakukan salah satu hal berikut:
+ **Connect to other AWS services** — Jika model Anda memerlukan akses ke AWS layanan yang mendukung antarmuka Amazon VPC endpoint, buat endpoint untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat [AWS layanan yang terintegrasi dengan AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) dalam Panduan AWS PrivateLink Pengguna. Untuk informasi tentang membuat titik akhir VPC antarmuka, lihat [Mengakses AWS layanan menggunakan titik akhir VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan Pengguna. AWS PrivateLink
+ **Connect to resources through the internet** — Jika model Anda berjalan pada instance di VPC Amazon yang tidak memiliki subnet dengan akses ke internet, model tidak akan memiliki akses ke sumber daya di internet. Jika model Anda memerlukan akses ke AWS layanan yang tidak mendukung titik akhir VPC antarmuka, atau ke sumber daya di luar AWS, pastikan Anda menjalankan model Anda di subnet pribadi yang memiliki akses ke internet menggunakan gateway NAT publik di subnet publik. Setelah model Anda berjalan di subnet pribadi, konfigurasikan grup keamanan Anda dan daftar kontrol akses jaringan (NACLs) untuk memungkinkan koneksi keluar dari subnet pribadi ke gateway NAT publik di subnet publik. Untuk selengkapnya, lihat [gateway NAT di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) Pengguna Amazon VPC.
### Pantau Pekerjaan SageMaker Pemrosesan Amazon dengan CloudWatch Log dan Metrik
Amazon SageMaker AI menyediakan CloudWatch log dan metrik Amazon untuk memantau pekerjaan pelatihan. CloudWatch menyediakan CPU, GPU, memori, memori GPU, dan metrik disk, dan pencatatan peristiwa. Untuk informasi selengkapnya tentang memantau pekerjaan SageMaker pemrosesan Amazon, lihat [Metrik Amazon SageMaker AI di Amazon CloudWatch](monitoring-cloudwatch.md) dan[SageMaker Metrik pekerjaan AI](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Berikan Akses Pekerjaan Pelatihan SageMaker AI ke Sumber Daya di VPC Amazon Anda
**catatan**
Untuk pekerjaan pelatihan, Anda hanya dapat mengonfigurasi subnet dengan VPC penyewaan default tempat instance Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancy VPCs, lihat [Instans Khusus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Konfigurasikan Training Job untuk Amazon VPC Access
Untuk mengontrol akses ke pekerjaan pelatihan Anda, jalankan di VPC Amazon dengan subnet pribadi yang tidak memiliki akses internet.
Anda mengonfigurasi pekerjaan pelatihan untuk dijalankan di VPC dengan menentukan subnet dan grup keamanannya. IDs Anda tidak perlu menentukan subnet untuk wadah pekerjaan pelatihan. Amazon SageMaker AI secara otomatis menarik gambar wadah pelatihan dari Amazon ECR.
Saat membuat pekerjaan pelatihan, Anda dapat menentukan subnet dan grup keamanan di VPC menggunakan konsol SageMaker Amazon AI atau API.
Untuk menggunakan API, Anda menentukan subnet dan grup keamanan IDs dalam `VpcConfig` parameter [ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)operasi. SageMaker AI menggunakan subnet dan detail grup keamanan untuk membuat antarmuka jaringan dan menempelkannya ke wadah pelatihan. Antarmuka jaringan menyediakan wadah pelatihan dengan koneksi jaringan dalam VPC Anda. Ini memungkinkan pekerjaan pelatihan untuk terhubung ke sumber daya yang ada di VPC Anda.
Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke `CreateTrainingJob` operasi:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurasikan VPC Pribadi Anda untuk Pelatihan AI SageMaker
Saat mengonfigurasi VPC pribadi untuk pekerjaan pelatihan AI SageMaker Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.
**Topics**
+ [Pastikan Subnet Memiliki Alamat IP yang Cukup](#train-vpc-ip)
+ [Buat Endpoint VPC Amazon S3](#train-vpc-s3)
+ [Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3](#train-vpc-policy)
+ [Konfigurasikan Tabel Rute](#train-vpc-route-table)
+ [Konfigurasikan Grup Keamanan VPC](#train-vpc-groups)
+ [Connect ke Sumber Daya di Luar VPC Anda](#train-vpc-nat)
+ [Pantau Pekerjaan SageMaker Pelatihan Amazon dengan CloudWatch Log dan Metrik](#train-vpc-cloudwatch)
### Pastikan Subnet Memiliki Alamat IP yang Cukup
Instans pelatihan yang *tidak menggunakan* Elastic Fabric Adapter (EFA) harus memiliki setidaknya 2 alamat IP pribadi. Contoh pelatihan yang menggunakan EFA harus memiliki setidaknya 5 alamat IP pribadi. Untuk informasi selengkapnya, lihat [Beberapa alamat IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) di Panduan Pengguna Amazon EC2.
Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan pelatihan. Untuk informasi selengkapnya, lihat [Ukuran VPC dan Subnet di Panduan Pengguna IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC*.
### Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC agar wadah pelatihan tidak memiliki akses ke internet, wadah tersebut tidak dapat terhubung ke bucket Amazon S3 yang berisi data pelatihan kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan wadah pelatihan Anda mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html) S3.
**Untuk membuat titik akhir VPC S3:**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Di panel navigasi, pilih **Endpoints, lalu pilih Create Endpoint****
1. Untuk **Nama Layanan**, cari **com.amazonaws. *region*.s3**, di *region* mana nama wilayah tempat VPC Anda berada.
1. Pilih jenis **Gateway**.
1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
1. Untuk **Konfigurasi tabel rute**, pilih tabel rute yang akan digunakan oleh titik akhir. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir baru.
1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan apa pun dalam VPC. Pilih **Custom** untuk membatasi akses lebih lanjut. Untuk informasi, lihat [Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3](#train-vpc-policy).
### Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3
Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di VPC Anda. Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir untuk Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari VPC Amazon Anda. Untuk selengkapnya, lihat [Menggunakan Kebijakan Bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Batasi Instalasi Package pada Training Container
Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah pelatihan. Jika Anda tidak ingin pengguna menginstal paket dari repositori itu, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Konfigurasikan Tabel Rute
Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) diselesaikan. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan pelatihan Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
### Konfigurasikan Grup Keamanan VPC
Dalam pelatihan terdistribusi, Anda harus mengizinkan komunikasi antara wadah yang berbeda dalam pekerjaan pelatihan yang sama. Untuk melakukan itu, konfigurasikan aturan untuk grup keamanan Anda yang memungkinkan koneksi masuk antara anggota grup keamanan yang sama. Untuk instans yang mendukung EFA, pastikan bahwa koneksi masuk dan keluar memungkinkan semua lalu lintas dari grup keamanan yang sama. Untuk selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) di *Panduan Pengguna Amazon Virtual Private Cloud*.
### Connect ke Sumber Daya di Luar VPC Anda
Jika Anda mengonfigurasi VPC Anda sehingga tidak memiliki akses internet, pekerjaan pelatihan yang menggunakan VPC tersebut tidak memiliki akses ke sumber daya di luar VPC Anda. Jika pekerjaan pelatihan Anda membutuhkan akses ke sumber daya di luar VPC Anda, berikan akses dengan salah satu opsi berikut:
+ Jika pekerjaan pelatihan Anda memerlukan akses ke AWS layanan yang mendukung titik akhir VPC antarmuka, buat titik akhir untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat Titik Akhir [VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) di Panduan Pengguna *Amazon Virtual Private Cloud*. Untuk informasi tentang membuat titik akhir VPC antarmuka, lihat Titik Akhir [VPC Antarmuka (AWS PrivateLink) di Panduan Pengguna *Amazon* Virtual](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) Private Cloud.
+ Jika tugas pelatihan Anda memerlukan akses ke AWS layanan yang tidak mendukung titik akhir VPC antarmuka atau sumber daya di luar AWS, buat gateway NAT dan konfigurasikan grup keamanan Anda untuk mengizinkan koneksi keluar. Untuk informasi tentang menyiapkan gateway NAT untuk VPC Anda, [lihat Skenario 2: VPC dengan Subnet Publik dan Pribadi (NAT) di](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) Panduan Pengguna Amazon Virtual Private *Cloud*.
### Pantau Pekerjaan SageMaker Pelatihan Amazon dengan CloudWatch Log dan Metrik
Amazon SageMaker AI menyediakan CloudWatch log dan metrik Amazon untuk memantau pekerjaan pelatihan. CloudWatch menyediakan CPU, GPU, memori, memori GPU, dan metrik disk, dan pencatatan peristiwa. Untuk informasi selengkapnya tentang memantau pekerjaan SageMaker pelatihan Amazon, lihat [Metrik Amazon SageMaker AI di Amazon CloudWatch](monitoring-cloudwatch.md) dan[SageMaker Metrik pekerjaan AI](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Berikan Akses Titik Akhir yang Dihosting SageMaker AI ke Sumber Daya di VPC Amazon Anda
## Konfigurasikan Model untuk Akses VPC Amazon
Untuk menentukan subnet dan grup keamanan di VPC pribadi Anda, gunakan `VpcConfig` parameter permintaan API, atau berikan informasi ini saat Anda membuat model di konsol AI SageMaker . [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) SageMaker AI menggunakan informasi ini untuk membuat antarmuka jaringan dan melampirkannya ke wadah model Anda. Antarmuka jaringan menyediakan wadah model Anda dengan koneksi jaringan dalam VPC Anda yang tidak terhubung ke internet. Mereka juga memungkinkan model Anda terhubung ke sumber daya di VPC pribadi Anda.
**catatan**
Anda harus membuat setidaknya dua subnet di zona ketersediaan yang berbeda di VPC pribadi Anda, bahkan jika Anda hanya memiliki satu instance hosting.
Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke`CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurasikan VPC Pribadi Anda untuk Hosting AI SageMaker
Saat mengonfigurasi VPC pribadi untuk model AI SageMaker Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.
**Topics**
+ [Pastikan Subnet Memiliki Alamat IP yang Cukup](#host-vpc-ip)
+ [Buat Endpoint VPC Amazon S3](#host-vpc-s3)
+ [Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3](#host-vpc-policy)
+ [Tambahkan Izin untuk Akses Titik Akhir untuk Kontainer yang Berjalan di VPC ke Kebijakan IAM Kustom](#host-vpc-endpoints)
+ [Konfigurasikan Tabel Rute](#host-vpc-route-table)
+ [Connect ke Sumber Daya di Luar VPC Anda](#model-vpc-nat)
### Pastikan Subnet Memiliki Alamat IP yang Cukup
Instans pelatihan yang tidak menggunakan Elastic Fabric Adapter (EFA) harus memiliki setidaknya 2 alamat IP pribadi. Contoh pelatihan yang menggunakan EFA harus memiliki setidaknya 5 alamat IP pribadi. Untuk informasi selengkapnya, lihat [Beberapa alamat IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) di Panduan Pengguna Amazon EC2.
### Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC Anda sehingga wadah model tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan wadah model Anda mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html) S3.
**Untuk membuat titik akhir VPC Amazon S3:**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Di panel navigasi, pilih **Endpoints, lalu pilih Create Endpoint****
1. Untuk **Nama Layanan**, pilih **com.amazonaws. *region*.s3**, di *region* mana nama AWS Wilayah tempat VPC Anda berada.
1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
1. Untuk **Konfigurasi tabel rute**, pilih tabel rute untuk titik akhir yang akan digunakan. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas Amazon S3 ke titik akhir baru.
1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan Amazon S3 oleh pengguna atau layanan apa pun dalam VPC. Untuk membatasi akses lebih lanjut, pilih **Kustom**. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3](#host-vpc-policy).
### Menggunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke Amazon S3
Kebijakan endpoint default memungkinkan akses penuh ke Amazon Simple Storage Service (Amazon S3) untuk pengguna atau layanan apa pun di VPC Anda. Untuk lebih membatasi akses ke Amazon S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir untuk Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) S3.
Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari VPC Amazon Anda. Untuk selengkapnya, lihat [Menggunakan Kebijakan Bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Batasi Instalasi Package pada Container Model dengan Kebijakan Endpoint Kustom
Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah model. Jika Anda tidak ingin pengguna menginstal paket dari repositori tersebut, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Tambahkan Izin untuk Akses Titik Akhir untuk Kontainer yang Berjalan di VPC ke Kebijakan IAM Kustom
Kebijakan `SageMakerFullAccess` terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon dengan titik akhir. Izin ini memungkinkan SageMaker AI untuk membuat elastic network interface dan melampirkannya ke wadah model yang berjalan di VPC. Jika Anda menggunakan kebijakan IAM Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk akses VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang kebijakan `SageMakerFullAccess` terkelola, lihat[AWS kebijakan terkelola: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Konfigurasikan Tabel Rute
Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) diselesaikan. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam model Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
### Connect ke Sumber Daya di Luar VPC Anda
Jika Anda mengonfigurasi VPC Anda sehingga tidak memiliki akses internet, model yang menggunakan VPC tersebut tidak memiliki akses ke sumber daya di luar VPC Anda. Jika model Anda membutuhkan akses ke sumber daya di luar VPC Anda, berikan akses dengan salah satu opsi berikut:
+ Jika model Anda memerlukan akses ke AWS layanan yang mendukung titik akhir VPC antarmuka, buat titik akhir untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat Titik Akhir [VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) di Panduan Pengguna *Amazon VPC*. *Untuk informasi tentang membuat titik akhir VPC antarmuka, lihat Titik Akhir [VPC Antarmuka () di AWS PrivateLink Panduan Pengguna VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) Amazon.*
+ Jika model Anda memerlukan akses ke AWS layanan yang tidak mendukung titik akhir VPC antarmuka atau sumber daya di luar AWS, buat gateway NAT dan konfigurasikan grup keamanan Anda untuk mengizinkan koneksi keluar. Untuk informasi tentang menyiapkan gateway NAT untuk VPC Anda, [lihat Skenario 2: VPC dengan Subnet Publik dan Pribadi (NAT) di](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) Panduan Pengguna Amazon Virtual Private *Cloud*.
# Berikan Akses Pekerjaan Transformasi Batch ke Sumber Daya di VPC Amazon Anda
Untuk mengontrol akses ke data dan pekerjaan transformasi batch, kami sarankan Anda membuat VPC Amazon pribadi dan mengonfigurasinya sehingga pekerjaan Anda tidak dapat diakses melalui internet publik. Anda menentukan konfigurasi VPC pribadi saat membuat model dengan menentukan subnet dan grup keamanan. Anda kemudian menentukan model yang sama ketika Anda membuat pekerjaan transformasi batch. Saat Anda menentukan subnet dan grup keamanan, SageMaker AI membuat *antarmuka jaringan elastis* yang terkait dengan grup keamanan Anda di salah satu subnet. Antarmuka jaringan memungkinkan wadah model Anda terhubung ke sumber daya di VPC Anda. Untuk informasi tentang antarmuka jaringan, lihat [Antarmuka Jaringan Elastis](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) di Panduan Pengguna Amazon *VPC*.
Dokumen ini menjelaskan cara menambahkan konfigurasi VPC Amazon untuk pekerjaan transformasi batch.
## Konfigurasikan Job Transform Batch untuk Akses VPC Amazon
Untuk menentukan subnet dan grup keamanan di VPC pribadi Anda, gunakan `VpcConfig` parameter permintaan API, atau berikan informasi ini saat Anda membuat model di konsol AI SageMaker . [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) Kemudian tentukan model yang sama di parameter `ModelName` permintaan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)API, atau di bidang **Nama model** saat Anda membuat pekerjaan transformasi di konsol SageMaker AI. SageMaker AI menggunakan informasi ini untuk membuat antarmuka jaringan dan melampirkannya ke wadah model Anda. Antarmuka jaringan menyediakan wadah model Anda dengan koneksi jaringan dalam VPC Anda yang tidak terhubung ke internet. Mereka juga memungkinkan pekerjaan transformasi Anda untuk terhubung ke sumber daya di VPC pribadi Anda.
Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke`CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Jika Anda membuat model menggunakan operasi `CreateModel` API, peran eksekusi IAM yang Anda gunakan untuk membuat model harus menyertakan izin yang dijelaskan[CreateModel API: Izin Peran Eksekusi](sagemaker-roles.md#sagemaker-roles-createmodel-perms), termasuk izin berikut yang diperlukan untuk VPC pribadi.
Saat membuat model di konsol, jika Anda memilih **Buat peran baru** di bagian **Pengaturan Model**, [AmazonSageMakerFullAccess ](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor)kebijakan yang digunakan untuk membuat peran sudah berisi izin ini. Jika Anda memilih **Masukkan ARN peran IAM kustom** **atau Gunakan peran yang ada**, ARN peran yang Anda tentukan harus memiliki kebijakan eksekusi yang dilampirkan dengan izin berikut.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
```
## Konfigurasikan VPC Pribadi Anda untuk Transformasi SageMaker Batch AI
Saat mengonfigurasi VPC pribadi untuk pekerjaan transformasi batch AI SageMaker Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.
**Topics**
+ [Pastikan Subnet Memiliki Alamat IP yang Cukup](#batch-vpc-ip)
+ [Buat Endpoint VPC Amazon S3](#batch-vpc-s3)
+ [Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3](#batch-vpc-policy)
+ [Konfigurasikan Tabel Rute](#batch-vpc-route-table)
+ [Konfigurasikan Grup Keamanan VPC](#batch-vpc-groups)
+ [Connect ke Sumber Daya di Luar VPC Anda](#batch-vpc-nat)
### Pastikan Subnet Memiliki Alamat IP yang Cukup
Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan transformasi. Untuk informasi selengkapnya, lihat [Ukuran VPC dan Subnet di Panduan Pengguna IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC*.
### Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC Anda sehingga wadah model tidak memiliki akses ke internet, mereka tidak dapat terhubung ke bucket Amazon S3 yang berisi data Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan wadah model Anda mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html) S3.
**Untuk membuat titik akhir VPC S3:**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Di panel navigasi, pilih **Endpoints, lalu pilih Create Endpoint****
1. Untuk **Nama Layanan**, pilih **com.amazonaws. *region*.s3**, di *region* mana nama wilayah tempat VPC Anda berada.
1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
1. Untuk **Konfigurasi tabel rute**, pilih tabel rute yang akan digunakan oleh titik akhir. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir baru.
1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan apa pun dalam VPC. Pilih **Custom** untuk membatasi akses lebih lanjut. Untuk informasi, lihat [Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3](#batch-vpc-policy).
### Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3
Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di VPC Anda. Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir untuk Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari VPC Amazon Anda. Untuk selengkapnya, lihat [Menggunakan Kebijakan Bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Batasi Instalasi Package pada Model Container
Kebijakan endpoint default memungkinkan pengguna untuk menginstal paket dari repositori Amazon Linux dan Amazon Linux 2 pada wadah pelatihan. Jika Anda tidak ingin pengguna menginstal paket dari repositori itu, buat kebijakan endpoint khusus yang secara eksplisit menolak akses ke repositori Amazon Linux dan Amazon Linux 2. Berikut ini adalah contoh kebijakan yang menolak akses ke repositori ini:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Konfigurasikan Tabel Rute
Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) diselesaikan. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan transformasi batch Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
### Konfigurasikan Grup Keamanan VPC
Dalam transformasi batch terdistribusi, Anda harus mengizinkan komunikasi antara kontainer yang berbeda dalam pekerjaan transformasi batch yang sama. Untuk melakukan itu, konfigurasikan aturan untuk grup keamanan Anda yang memungkinkan koneksi masuk dan keluar antara anggota grup keamanan yang sama. Anggota kelompok keamanan yang sama harus dapat berkomunikasi satu sama lain di semua port. Untuk informasi selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Connect ke Sumber Daya di Luar VPC Anda
Jika Anda mengonfigurasi VPC Anda sehingga tidak memiliki akses internet, pekerjaan transformasi batch yang menggunakan VPC tersebut tidak memiliki akses ke sumber daya di luar VPC Anda. Jika pekerjaan transformasi batch Anda membutuhkan akses ke sumber daya di luar VPC Anda, berikan akses dengan salah satu opsi berikut:
+ Jika pekerjaan transformasi batch Anda memerlukan akses ke AWS layanan yang mendukung titik akhir VPC antarmuka, buat titik akhir untuk terhubung ke layanan tersebut. Untuk daftar layanan yang mendukung titik akhir antarmuka, lihat Titik Akhir [VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) di Panduan Pengguna *Amazon VPC*. *Untuk informasi tentang membuat titik akhir VPC antarmuka, lihat Titik Akhir [VPC Antarmuka () di AWS PrivateLink Panduan Pengguna VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) Amazon.*
+ Jika pekerjaan transformasi batch Anda memerlukan akses ke AWS layanan yang tidak mendukung titik akhir VPC antarmuka atau sumber daya di luar AWS, buat gateway NAT dan konfigurasikan grup keamanan Anda untuk mengizinkan koneksi keluar. Untuk informasi tentang menyiapkan gateway NAT untuk VPC Anda, [lihat Skenario 2: VPC dengan Subnet Publik dan Pribadi (NAT) di](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) Panduan Pengguna Amazon Virtual Private *Cloud*.
# Berikan Amazon SageMaker Clarify Lowongan Akses ke Sumber Daya di Amazon VPC Anda
Untuk mengontrol akses ke data Anda dan SageMaker Clarify lowongan, kami sarankan Anda membuat VPC Amazon pribadi dan mengonfigurasinya sehingga pekerjaan Anda tidak dapat diakses melalui internet publik. Untuk informasi tentang membuat dan mengonfigurasi VPC Amazon untuk memproses pekerjaan, [lihat SageMaker Memberikan Akses Pekerjaan Pemrosesan ke Sumber Daya di VPC Amazon Anda](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc).
Dokumen ini menjelaskan cara menambahkan konfigurasi VPC Amazon tambahan yang memenuhi persyaratan untuk SageMaker pekerjaan Clarify.
**Topics**
+ [Mengkonfigurasi SageMaker Clarify Job untuk Amazon VPC Access](#clarify-vpc-config)
+ [Konfigurasikan VPC Amazon Pribadi Anda untuk SageMaker pekerjaan Clarify](#clarify-vpc-vpc)
## Mengkonfigurasi SageMaker Clarify Job untuk Amazon VPC Access
Anda perlu menentukan subnet dan grup keamanan saat mengonfigurasi VPC Amazon pribadi Anda untuk pekerjaan SageMaker Clarify dan mengaktifkan pekerjaan mendapatkan kesimpulan dari model SageMaker AI saat menghitung metrik bias pasca-pelatihan dan kontribusi fitur yang membantu menjelaskan prediksi model.
**Topics**
+ [SageMaker Klarifikasi Pekerjaan Subnet VPC Amazon dan Grup Keamanan](#clarify-vpc-job)
+ [Konfigurasikan Model Amazon VPC untuk Inferensi](#clarify-vpc-model)
### SageMaker Klarifikasi Pekerjaan Subnet VPC Amazon dan Grup Keamanan
Subnet dan grup keamanan di VPC Amazon pribadi Anda dapat ditetapkan ke pekerjaan SageMaker Clarify dengan berbagai cara, tergantung pada cara Anda membuat pekerjaan.
+ **SageMaker Konsol AI**: Berikan informasi ini saat Anda membuat pekerjaan di **Dasbor SageMaker AI**. Dari menu **Processing**, pilih **Processing jobs**, lalu pilih **Create processing job**. Pilih opsi **VPC** di panel **Jaringan** dan berikan subnet dan grup keamanan menggunakan daftar drop-down. Pastikan opsi isolasi jaringan yang disediakan di panel ini dimatikan.
+ **SageMaker API**: Gunakan parameter `NetworkConfig.VpcConfig` permintaan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API, seperti yang ditunjukkan pada contoh berikut:
```
"NetworkConfig": {
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
}
```
+ **SageMaker Python SDK**: Gunakan `NetworkConfig` parameter [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API atau [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)API, seperti yang ditunjukkan pada contoh berikut:
```
from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
subnets=[
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2",
],
security_group_ids=[
"sg-0123456789abcdef0",
],
)
```
SageMaker AI menggunakan informasi untuk membuat antarmuka jaringan dan melampirkannya ke pekerjaan SageMaker Clarify. Antarmuka jaringan menyediakan pekerjaan SageMaker Clarify dengan koneksi jaringan dalam VPC Amazon Anda yang tidak terhubung ke internet publik. Mereka juga memungkinkan pekerjaan SageMaker Clarify untuk terhubung ke sumber daya di VPC Amazon pribadi Anda.
**catatan**
Opsi isolasi jaringan dari pekerjaan SageMaker Clarify harus dimatikan (secara default opsi dimatikan) sehingga pekerjaan SageMaker Clarify dapat berkomunikasi dengan titik akhir bayangan.
### Konfigurasikan Model Amazon VPC untuk Inferensi
Untuk menghitung metrik dan penjelasan bias pasca-pelatihan, pekerjaan SageMaker Clarify perlu mendapatkan kesimpulan dari model SageMaker AI yang ditentukan oleh `model_name` parameter [konfigurasi analisis](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) untuk pekerjaan pemrosesan Clarify. SageMaker Atau, jika Anda menggunakan `SageMakerClarifyProcessor` API di SageMaker AI Python SDK, pekerjaan harus mendapatkan yang `model_name` ditentukan oleh kelas. [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig) Untuk mencapai hal ini, pekerjaan SageMaker Clarify membuat titik akhir singkat dengan model, yang dikenal sebagai *titik akhir bayangan*, dan kemudian menerapkan konfigurasi VPC Amazon model ke titik akhir bayangan.
Untuk menentukan subnet dan grup keamanan di VPC Amazon pribadi Anda ke SageMaker model AI, gunakan `VpcConfig` parameter permintaan API atau berikan informasi ini saat Anda membuat model menggunakan dasbor AI SageMaker di konsol. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel) Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke`CreateModel`:
```
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Anda dapat menentukan jumlah instance titik akhir bayangan yang akan diluncurkan dengan `initial_instance_count` parameter [konfigurasi analisis](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) untuk tugas pemrosesan SageMaker Clarify. Atau, jika Anda menggunakan `SageMakerClarifyProcessor` API di SageMaker AI Python SDK, pekerjaan harus mendapatkan yang `instance_count` ditentukan oleh kelas. [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)
**catatan**
Bahkan jika Anda hanya meminta satu instance saat membuat titik akhir bayangan, Anda memerlukan setidaknya dua subnet dalam model di zona ketersediaan yang berbeda. [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig) Jika tidak, pembuatan titik akhir bayangan gagal dengan kesalahan berikut:
ClientError: Kesalahan hosting titik akhir sagemaker-clarify-endpoint-XXX: Gagal. Alasan: Tidak dapat menemukan setidaknya 2 zona ketersediaan dengan tipe instans yang diminta YYY yang tumpang tindih dengan SageMaker subnet AI.
Jika model Anda memerlukan file model di Amazon S3, maka model Amazon VPC harus memiliki titik akhir VPC Amazon S3. Untuk informasi selengkapnya tentang membuat dan mengonfigurasi VPC Amazon SageMaker untuk model AI, lihat. [Berikan Akses Titik Akhir yang Dihosting SageMaker AI ke Sumber Daya di VPC Amazon Anda](host-vpc.md)
## Konfigurasikan VPC Amazon Pribadi Anda untuk SageMaker pekerjaan Clarify
Secara umum, Anda dapat mengikuti langkah-langkah di [Konfigurasikan VPC Pribadi Anda untuk SageMaker Pemrosesan untuk mengonfigurasi VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc) Amazon pribadi Anda untuk pekerjaan Clarify. SageMaker Berikut adalah beberapa sorotan dan persyaratan khusus untuk pekerjaan SageMaker Clarify.
**Topics**
+ [Connect ke Sumber Daya di Luar VPC Amazon Anda](#clarify-vpc-nat)
+ [Konfigurasikan Grup Keamanan VPC Amazon](#clarify-vpc-security-group)
### Connect ke Sumber Daya di Luar VPC Amazon Anda
Jika Anda mengonfigurasi VPC Amazon Anda sehingga tidak memiliki akses internet publik, maka beberapa pengaturan tambahan diperlukan untuk memberikan SageMaker Clarify lowongan akses ke sumber daya dan layanan di luar VPC Amazon Anda. Misalnya, titik akhir VPC Amazon S3 diperlukan karena tugas SageMaker Clarify perlu memuat kumpulan data dari bucket S3 serta menyimpan hasil analisis ke bucket S3. Untuk informasi selengkapnya, lihat [Membuat Titik Akhir VPC Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3) untuk panduan pembuatan. Selain itu, jika pekerjaan SageMaker Clarify perlu mendapatkan kesimpulan dari titik akhir bayangan, maka perlu memanggil beberapa layanan lagi AWS .
+ **Buat titik akhir VPC layanan SageMaker API Amazon**: Pekerjaan SageMaker Clarify perlu memanggil layanan Amazon SageMaker API untuk memanipulasi titik akhir bayangan, atau untuk menjelaskan model AI SageMaker untuk validasi VPC Amazon. Anda dapat mengikuti panduan yang disediakan di blog [Mengamankan semua panggilan SageMaker API Amazon dengan AWS PrivateLink](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/) blog untuk membuat titik akhir VPC Amazon SageMaker API yang memungkinkan tugas SageMaker Clarify melakukan panggilan layanan. Perhatikan bahwa nama layanan layanan Amazon SageMaker API adalah`com.amazonaws.region.sagemaker.api`, di mana *region* adalah nama Wilayah tempat VPC Amazon Anda berada.
+ **Buat Titik Akhir VPC Amazon SageMaker AI Runtime**: SageMaker Pekerjaan Clarify perlu memanggil layanan runtime SageMaker Amazon AI, yang merutekan pemanggilan ke titik akhir bayangan. Langkah-langkah penyiapannya mirip dengan yang ada pada layanan Amazon SageMaker API. Perhatikan bahwa nama layanan layanan Amazon SageMaker AI Runtime adalah`com.amazonaws.region.sagemaker.runtime`, di mana *region* nama Wilayah tempat VPC Amazon Anda berada.
### Konfigurasikan Grup Keamanan VPC Amazon
SageMaker Klarifikasi pekerjaan mendukung pemrosesan terdistribusi ketika dua atau lebih contoh pemrosesan ditentukan dalam salah satu cara berikut:
+ **SageMaker Konsol AI**: **Jumlah Instans** ditentukan di bagian **konfigurasi Resource** dari panel **pengaturan Job** di halaman **Create processing job**.
+ **SageMaker API**: `InstanceCount` Ini ditentukan saat Anda membuat pekerjaan dengan [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API.
+ **SageMaker Python SDK**[: `instance_count` Ini ditentukan saat menggunakan [SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API atau API Processor.](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)
Dalam pemrosesan terdistribusi, Anda harus mengizinkan komunikasi antara instance yang berbeda dalam pekerjaan pemrosesan yang sama. Untuk melakukan itu, konfigurasikan aturan untuk grup keamanan Anda yang memungkinkan koneksi masuk antara anggota grup keamanan yang sama. Untuk selengkapnya, lihat [Aturan grup keamanan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
# Berikan Akses Pekerjaan Kompilasi SageMaker AI ke Sumber Daya di VPC Amazon Anda
**catatan**
Untuk pekerjaan kompilasi, Anda hanya dapat mengonfigurasi subnet dengan VPC penyewaan default di mana pekerjaan Anda berjalan pada perangkat keras bersama. Untuk informasi selengkapnya tentang atribut tenancy VPCs, lihat [Instans Khusus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Konfigurasikan Pekerjaan Kompilasi untuk Akses VPC Amazon
Untuk menentukan subnet dan grup keamanan di VPC pribadi Anda, gunakan `VpcConfig` parameter permintaan API, atau berikan informasi ini saat Anda membuat pekerjaan kompilasi di konsol AI SageMaker . [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html) SageMaker AI Neo menggunakan informasi ini untuk membuat antarmuka jaringan dan melampirkannya ke pekerjaan kompilasi Anda. Antarmuka jaringan menyediakan pekerjaan kompilasi dengan koneksi jaringan dalam VPC Anda yang tidak terhubung ke internet. Mereka juga memungkinkan pekerjaan kompilasi Anda untuk terhubung ke sumber daya di VPC pribadi Anda. Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan Anda ke`CreateCompilationJob`:
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Konfigurasikan VPC Pribadi Anda untuk SageMaker Kompilasi AI
Saat mengonfigurasi VPC pribadi untuk pekerjaan kompilasi AI SageMaker Anda, gunakan panduan berikut. Untuk informasi tentang cara menyiapkan VPC, lihat [Bekerja dengan VPCs dan Subnet](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) di Panduan Pengguna Amazon *VPC*.
**Topics**
+ [Pastikan Subnet Memiliki Alamat IP yang Cukup](#neo-vpc-ip)
+ [Buat Endpoint VPC Amazon S3](#neo-vpc-s3)
+ [Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3](#neo-vpc-policy)
+ [Konfigurasikan Tabel Rute](#neo-vpc-route-table)
+ [Konfigurasikan Grup Keamanan VPC](#neo-vpc-groups)
### Pastikan Subnet Memiliki Alamat IP yang Cukup
Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan kompilasi. Untuk informasi selengkapnya, lihat [Ukuran VPC dan Subnet di Panduan Pengguna IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC*.
### Buat Endpoint VPC Amazon S3
Jika Anda mengonfigurasi VPC untuk memblokir akses ke internet, SageMaker Neo tidak dapat terhubung ke bucket Amazon S3 yang berisi model Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan pekerjaan kompilasi SageMaker Neo Anda untuk mengakses bucket tempat Anda menyimpan data dan artefak model. Kami menyarankan Anda juga membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi Anda untuk mengakses bucket S3 Anda. Untuk informasi selengkapnya, lihat [Titik Akhir untuk Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html) S3.
**Untuk membuat titik akhir VPC S3:**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. **Di panel navigasi, pilih **Endpoints, lalu pilih Create Endpoint****
1. Untuk **Nama Layanan**, cari **com.amazonaws. *region*.s3**, di *region* mana nama wilayah tempat VPC Anda berada.
1. Pilih jenis **Gateway**.
1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
1. Untuk **Konfigurasi tabel rute**, pilih tabel rute yang akan digunakan oleh titik akhir. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas S3 ke titik akhir baru.
1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan S3 oleh pengguna atau layanan apa pun dalam VPC. Pilih **Custom** untuk membatasi akses lebih lanjut. Untuk informasi, lihat [Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3](train-vpc.md#train-vpc-policy).
### Gunakan Kebijakan Titik Akhir Kustom untuk Membatasi Akses ke S3
Kebijakan endpoint default memungkinkan akses penuh ke S3 untuk setiap pengguna atau layanan di VPC Anda. Untuk lebih membatasi akses ke S3, buat kebijakan titik akhir kustom. Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Titik Akhir untuk Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) S3. Anda juga dapat menggunakan kebijakan bucket untuk membatasi akses ke bucket S3 hanya untuk lalu lintas yang berasal dari VPC Amazon Anda. Untuk selengkapnya, lihat [Menggunakan Kebijakan Bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Berikut ini adalah contoh kebijakan yang disesuaikan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Menambahkan Izin untuk Menjalankan Pekerjaan Kompilasi di VPC Amazon ke Kebijakan IAM Kustom
Kebijakan `SageMakerFullAccess` terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon dengan titik akhir. Izin ini memungkinkan SageMaker Neo untuk membuat elastic network interface dan melampirkannya ke pekerjaan kompilasi yang berjalan di Amazon VPC. Jika Anda menggunakan kebijakan IAM Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya tentang kebijakan `SageMakerFullAccess` terkelola, lihat[AWS kebijakan terkelola: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Konfigurasikan Tabel Rute
Gunakan pengaturan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) diselesaikan. Jika Anda tidak menggunakan pengaturan DNS default, pastikan URLs bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan kompilasi Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. Untuk informasi tentang tabel rute titik akhir VPC, lihat [Perutean untuk Titik Akhir Gateway di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
### Konfigurasikan Grup Keamanan VPC
Di grup keamanan untuk pekerjaan kompilasi, Anda harus mengizinkan komunikasi keluar ke titik akhir Amazon S3 Amazon VPC dan rentang CIDR subnet yang digunakan untuk pekerjaan kompilasi. Untuk selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) dan [Kontrol akses ke layanan dengan titik akhir Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).
# Berikan Akses Pekerjaan Inferensi Rekomendasi ke Sumber Daya di VPC Amazon Anda
**catatan**
Inference Recommender mengharuskan Anda untuk mendaftarkan model Anda dengan Model Registry. Perhatikan bahwa Model Registry tidak mengizinkan artefak model atau gambar Amazon ECR Anda dibatasi oleh VPC.
Inference Recommender juga memiliki persyaratan bahwa objek Amazon S3 muatan sampel Anda tidak dibatasi oleh VPC. Untuk lowongan rekomendasi inferensi, Anda tidak dapat membuat kebijakan khusus yang hanya mengizinkan permintaan dari VPC pribadi untuk mengakses bucket Amazon S3 Anda.
Untuk menentukan subnet dan grup keamanan di VPC pribadi Anda, gunakan `RecommendationJobVpcConfig` parameter permintaan API, atau tentukan subnet dan grup keamanan saat Anda membuat pekerjaan rekomendasi di SageMaker konsol AI. [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)
Inference Recommender menggunakan informasi ini untuk membuat endpoint. Saat menyediakan titik akhir, SageMaker AI membuat antarmuka jaringan dan menempelkannya ke titik akhir Anda. Antarmuka jaringan menyediakan titik akhir Anda dengan koneksi jaringan ke VPC Anda. Berikut ini adalah contoh `VpcConfig` parameter yang Anda sertakan dalam panggilan ke`CreateInferenceRecommendationsJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Lihat topik berikut untuk informasi selengkapnya tentang mengonfigurasi VPC Amazon Anda untuk digunakan dengan pekerjaan Inference Recommender.
**Topics**
+ [Pastikan subnet memiliki alamat IP yang cukup](#inference-recommender-vpc-access-subnets)
+ [Buat titik akhir VPC Amazon S3](#inference-recommender-vpc-access-endpoint)
+ [Tambahkan izin untuk pekerjaan Inference Recommender yang berjalan di VPC Amazon ke kebijakan IAM kustom](#inference-recommender-vpc-access-permissions)
+ [Konfigurasikan tabel rute](#inference-recommender-vpc-access-route-tables)
+ [Konfigurasikan grup keamanan VPC](#inference-recommender-vpc-access-security-group)
## Pastikan subnet memiliki alamat IP yang cukup
Subnet VPC Anda harus memiliki setidaknya dua alamat IP pribadi untuk setiap instance dalam pekerjaan rekomendasi inferensi. Untuk informasi selengkapnya tentang subnet dan alamat IP pribadi, lihat [Cara kerja Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) di Panduan Pengguna *Amazon VPC*.
## Buat titik akhir VPC Amazon S3
Jika Anda mengonfigurasi VPC untuk memblokir akses ke internet, Inference Recommender tidak dapat terhubung ke bucket Amazon S3 yang berisi model Anda kecuali Anda membuat titik akhir VPC yang memungkinkan akses. Dengan membuat titik akhir VPC, Anda mengizinkan pekerjaan rekomendasi inferensi SageMaker AI Anda untuk mengakses bucket tempat Anda menyimpan data dan artefak model.
Untuk membuat endpoint VPC Amazon S3, gunakan prosedur berikut:
1. Buka konsol [Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Di panel navigasi, pilih **Endpoints**, lalu pilih **Create** Endpoint.
1. Untuk **Nama Layanan**, cari`com.amazonaws.region.s3`, di `region` mana nama Wilayah tempat VPC Anda berada.
1. Pilih **jenis Gateway**.
1. Untuk **VPC**, pilih VPC yang ingin Anda gunakan untuk titik akhir ini.
1. Untuk **Konfigurasi tabel rute**, pilih tabel rute yang akan digunakan oleh titik akhir. Layanan VPC secara otomatis menambahkan rute ke setiap tabel rute yang Anda pilih yang mengarahkan lalu lintas Amazon S3 ke titik akhir baru.
1. Untuk **Kebijakan**, pilih **Akses Penuh** untuk mengizinkan akses penuh ke layanan Amazon S3 oleh pengguna atau layanan apa pun dalam VPC.
## Tambahkan izin untuk pekerjaan Inference Recommender yang berjalan di VPC Amazon ke kebijakan IAM kustom
Kebijakan `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` terkelola mencakup izin yang Anda perlukan untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon dengan titik akhir. Izin ini memungkinkan Inference Recommender untuk membuat elastic network interface dan melampirkannya ke tugas rekomendasi inferensi yang berjalan di Amazon VPC. Jika Anda menggunakan kebijakan IAM Anda sendiri, Anda harus menambahkan izin berikut ke kebijakan tersebut untuk menggunakan model yang dikonfigurasi untuk akses VPC Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## Konfigurasikan tabel rute
Gunakan setelan DNS default untuk tabel rute titik akhir Anda, sehingga Amazon URLs S3 standar (misalnya`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`:) diselesaikan. Jika Anda tidak menggunakan pengaturan DNS default, pastikan bahwa yang Anda gunakan untuk menentukan lokasi data dalam pekerjaan rekomendasi inferensi Anda diselesaikan dengan mengonfigurasi tabel rute titik akhir. URLs Untuk informasi tentang tabel rute titik akhir VPC, lihat Titik akhir [gateway perutean di Panduan Pengguna](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) *Amazon* VPC.
## Konfigurasikan grup keamanan VPC
Di grup keamanan untuk pekerjaan rekomendasi inferensi, Anda harus mengizinkan komunikasi keluar ke titik akhir VPC Amazon S3 dan rentang CIDR subnet yang digunakan untuk pekerjaan rekomendasi inferensi. Untuk selengkapnya, lihat [Aturan Grup Keamanan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) dan [Kontrol akses ke layanan dengan titik akhir Amazon VPC di Panduan](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) Pengguna Amazon *VPC*.