Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWSpolitiche gestite per Amazon SageMaker Canvas
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker Canvas. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
Argomenti
AWSpolitica gestita: AmazonSageMakerCanvasDataPrepFullAccess
AWSpolitica gestita: AmazonSageMakerCanvasDirectDeployAccess
AWSpolitica gestita: accesso AmazonSageMakerCanvas AIServices
AWSpolitica gestita: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
AWSpolitica gestita: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Aggiornamenti di Amazon SageMaker AI alle politiche gestite di Amazon SageMaker Canvas
AWSpolitica gestita: AmazonSageMakerCanvasFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo ad Amazon SageMaker Canvas tramite l'SDK Console di gestione AWS and. La policy fornisce anche l'accesso selezionato ai servizi correlati [ad esempio, Amazon Simple Storage Service (Amazon S3), (IAM)AWS Identity and Access Management, Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, CloudWatch Amazon Redshift, Amazon Autopilot, Model Registry, e Gestione dei segreti AWS Amazon Forecast SageMaker ]. SageMaker
Questa politica ha lo scopo di aiutare i clienti a sperimentare e iniziare a utilizzare tutte le funzionalità di Canvas. SageMaker Per un controllo più preciso, suggeriamo ai clienti di creare le proprie versioni con ambito ridotto man mano che passano ai carichi di lavoro di produzione. Per ulteriori informazioni, consulta IAM policy types: How and when to use them
Dettagli delle autorizzazioni
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker— Consente ai responsabili di creare e ospitare modelli di SageMaker intelligenza artificiale su risorse il cui ARN contiene «Canvas», «canvas» o «model-compilation-». Inoltre, gli utenti possono registrare il proprio modello SageMaker Canvas su SageMaker AI Model Registry nello stesso account. AWS Consente inoltre ai responsabili di creare e gestire processi di SageMaker formazione, trasformazione e AutoML. -
application-autoscaling— Consente ai responsabili di scalare automaticamente un endpoint di SageMaker inferenza AI. -
athena: consente ai principali di eseguire query su un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena, nonché di accedere alle tabelle nei cataloghi. -
cloudwatch— Consente ai responsabili di creare e gestire CloudWatch allarmi Amazon. -
ec2: consente alle entità principali di creare endpoint VPC Amazon. -
ecr: consente alle entità principali di ottenere informazioni sull'immagine di un container. -
emr-serverless: consente ai principali di creare e gestire le applicazioni Amazon EMR serverless e le esecuzioni dei processi. Consente inoltre ai mandanti di etichettare le risorse Canvas SageMaker . -
forecast: consente alle entità principali di utilizzare Amazon Forecast. -
glue— Consente ai responsabili di recuperare le tabelle, i database e le partizioni nel catalogo. AWS Glue -
iam— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker AI, Amazon Forecast e Amazon EMR Serverless. Inoltre, consente ai principali di creare un ruolo collegato al servizio. -
kms— Consente ai presidi di leggere una AWS KMS chiave contrassegnata con.Source:SageMakerCanvas -
logs: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento. -
quicksight— Consente ai responsabili di elencare i namespace nell'account Quick Suite. -
rds: consente alle entità principali di restituire informazioni sulle istanze Amazon RDS per cui è stato effettuato il provisioning. -
redshift: consente alle entità principali di ottenere le credenziali per un dbuser "sagemaker_access*" su qualsiasi cluster Amazon Redshift, se tale utente esiste. -
redshift-data: consente alle entità principali di eseguire query su Amazon Redshift utilizzando l'API di dati di Amazon Redshift. Ciò fornisce solo l'accesso ai dati Redshift APIs stessi e non fornisce l'accesso diretto ai cluster Amazon Redshift. Per ulteriori informazioni, consulta Uso dell'API dati di Amazon Redshift. -
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker». Consente inoltre ai principali di recuperare oggetti dai bucket Amazon S3 il cui ARN inizia con jumpstart-cache-prod "-» in regioni specifiche. -
secretsmanager: consente alle entità principali di memorizzare le credenziali dei clienti per connettersi a un database Snowflake utilizzando il Gestore dei segreti.
-
{ "Version":"2012-10-17", "Statement": [ { "Sid": "SageMakerUserDetailsAndPackageOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribeDomain", "sagemaker:DescribeUserProfile", "sagemaker:ListTags", "sagemaker:ListModelPackages", "sagemaker:ListModelPackageGroups", "sagemaker:ListEndpoints" ], "Resource": "*" }, { "Sid": "SageMakerPackageGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateModelPackageGroup", "sagemaker:CreateModelPackage", "sagemaker:DescribeModelPackageGroup", "sagemaker:DescribeModelPackage" ], "Resource": [ "arn:aws:sagemaker:*:*:model-package/*", "arn:aws:sagemaker:*:*:model-package-group/*" ] }, { "Sid": "SageMakerTrainingOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateCompilationJob", "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateProcessingJob", "sagemaker:CreateAutoMLJob", "sagemaker:CreateAutoMLJobV2", "sagemaker:CreateTrainingJob", "sagemaker:CreateTransformJob", "sagemaker:DeleteEndpoint", "sagemaker:DescribeCompilationJob", "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeModel", "sagemaker:DescribeProcessingJob", "sagemaker:DescribeAutoMLJob", "sagemaker:DescribeAutoMLJobV2", "sagemaker:DescribeTrainingJob", "sagemaker:DescribeTransformJob", "sagemaker:ListCandidatesForAutoMLJob", "sagemaker:StopAutoMLJob", "sagemaker:StopTrainingJob", "sagemaker:StopTransformJob", "sagemaker:AddTags", "sagemaker:DeleteApp" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*", "arn:aws:sagemaker:*:*:*model-compilation-*" ] }, { "Sid": "SageMakerHostingOperations", "Effect": "Allow", "Action": [ "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:InvokeEndpoint", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:InvokeEndpointAsync" ], "Resource": [ "arn:aws:sagemaker:*:*:*Canvas*", "arn:aws:sagemaker:*:*:*canvas*" ] }, { "Sid": "EC2VPCOperation", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServices" ], "Resource": "*" }, { "Sid": "ECROperations", "Effect": "Allow", "Action": [ "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer", "ecr:GetAuthorizationToken" ], "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": [ "iam:GetRole" ], "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:CreateBucket", "s3:GetBucketCors", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Sid": "ReadSageMakerJumpstartArtifacts", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::jumpstart-cache-prod-us-west-2/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-1/*", "arn:aws:s3:::jumpstart-cache-prod-us-east-2/*", "arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*", "arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*", "arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*", "arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*" ] }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": "glue:SearchTables", "Resource": [ "arn:aws:glue:*:*:table/*/*", "arn:aws:glue:*:*:database/*", "arn:aws:glue:*:*:catalog" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret", "secretsmanager:PutResourcePolicy" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables", "redshift-data:DescribeTable" ], "Resource": "*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "ForecastOperations", "Effect": "Allow", "Action": [ "forecast:CreateExplainabilityExport", "forecast:CreateExplainability", "forecast:CreateForecastEndpoint", "forecast:CreateAutoPredictor", "forecast:CreateDatasetImportJob", "forecast:CreateDatasetGroup", "forecast:CreateDataset", "forecast:CreateForecast", "forecast:CreateForecastExportJob", "forecast:CreatePredictorBacktestExportJob", "forecast:CreatePredictor", "forecast:DescribeExplainabilityExport", "forecast:DescribeExplainability", "forecast:DescribeAutoPredictor", "forecast:DescribeForecastEndpoint", "forecast:DescribeDatasetImportJob", "forecast:DescribeDataset", "forecast:DescribeForecast", "forecast:DescribeForecastExportJob", "forecast:DescribePredictorBacktestExportJob", "forecast:GetAccuracyMetrics", "forecast:InvokeForecastEndpoint", "forecast:GetRecentForecastContext", "forecast:DescribePredictor", "forecast:TagResource", "forecast:DeleteResourceTree" ], "Resource": [ "arn:aws:forecast:*:*:*Canvas*" ] }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "IAMPassOperationForForecast", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "forecast.amazonaws.com" } } }, { "Sid": "AutoscalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:PutScalingPolicy", "application-autoscaling:RegisterScalableTarget" ], "Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*", "Condition": { "StringEquals": { "application-autoscaling:service-namespace": "sagemaker", "application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount" } } }, { "Sid": "AsyncEndpointOperations", "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms", "sagemaker:DescribeEndpointConfig" ], "Resource": "*" }, { "Sid": "DescribeScalingOperations", "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalingActivities" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "SageMakerCloudWatchUpdate", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": [ "arn:aws:cloudwatch:*:*:alarm:TargetTracking*" ], "Condition": { "StringEquals": { "aws:CalledViaLast": "application-autoscaling.amazonaws.com" } } }, { "Sid": "AutoscalingSageMakerEndpointOperation", "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Sid": "AthenaOperation", "Action": [ "athena:ListTableMetadata", "athena:ListDataCatalogs", "athena:ListDatabases" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "GlueOperation", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTables" ], "Effect": "Allow", "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "QuicksightOperation", "Action": [ "quicksight:ListNamespaces" ], "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowUseOfKeyInAccount", "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Source": "SageMakerCanvas", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:StopApplication", "emr-serverless:GetApplication", "emr-serverless:StartApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWSpolitica gestita: AmazonSageMakerCanvasDataPrepFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo alla funzionalità di preparazione dei dati di Amazon SageMaker Canvas. La policy fornisce anche le autorizzazioni con privilegi minimi per i servizi che si integrano con la funzionalità di preparazione dei dati [ad esempio, Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), Amazon EMR, Amazon, Amazon Redshift, () e]. EventBridge AWS Key Management Service AWS KMS Gestione dei segreti AWS
Dettagli delle autorizzazioni
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker: consente ai principali di accedere ai processi di elaborazione, ai job di addestramento, alle pipeline di inferenza, ai processi AutoML e ai gruppi di funzionalità. -
athena: consente ai principali di eseguire query su un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena. -
elasticmapreduce: consente ai principali di leggere ed elencare i cluster Amazon EMR. -
emr-serverless: consente ai principali di creare e gestire le applicazioni Amazon EMR serverless e le esecuzioni dei processi. Consente inoltre ai responsabili di etichettare le risorse SageMaker Canvas. -
events— Consente ai responsabili di creare, leggere, aggiornare e aggiungere obiettivi alle EventBridge regole di Amazon per i lavori pianificati. -
glue— Consente ai responsabili di ottenere e cercare tabelle dai database del AWS Glue catalogo. -
iam— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker AI e Amazon EMR Serverless. EventBridge Inoltre, consente ai principali di creare un ruolo collegato al servizio. -
kms— Consente ai responsabili di recuperare gli AWS KMS alias archiviati nei job e negli endpoint e di accedere alla chiave KMS associata. -
logs: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento. -
redshift: consente ai principali di ottenere le credenziali per accedere al database Amazon Redshift. -
redshift-data: consente ai principali di eseguire, annullare, descrivere, elencare e ottenere i risultati delle query di Amazon Redshift. Consente inoltre ai principali di elencare schemi e tabelle di Amazon Redshift. -
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker»; oppure sono etichettati con "«, senza distinzione tra maiuscole e minuscole. SageMaker -
secretsmanager: consente ai principali di archiviare e recuperare le credenziali dei database de clienti utilizzando Secrets Manager.
-
{ "Version":"2012-10-17", "Statement": [ { "Sid": "SageMakerListFeatureGroupOperation", "Effect": "Allow", "Action": "sagemaker:ListFeatureGroups", "Resource": "*" }, { "Sid": "SageMakerFeatureGroupOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateFeatureGroup", "sagemaker:DescribeFeatureGroup" ], "Resource": "arn:aws:sagemaker:*:*:feature-group/*" }, { "Sid": "SageMakerProcessingJobOperations", "Effect": "Allow", "Action": [ "sagemaker:CreateProcessingJob", "sagemaker:DescribeProcessingJob", "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*" }, { "Sid": "SageMakerProcessingJobListOperation", "Effect": "Allow", "Action": "sagemaker:ListProcessingJobs", "Resource": "*" }, { "Sid": "SageMakerPipelineOperations", "Effect": "Allow", "Action": [ "sagemaker:DescribePipeline", "sagemaker:CreatePipeline", "sagemaker:UpdatePipeline", "sagemaker:DeletePipeline", "sagemaker:StartPipelineExecution", "sagemaker:ListPipelineExecutionSteps", "sagemaker:DescribePipelineExecution" ], "Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*" }, { "Sid": "KMSListOperations", "Effect": "Allow", "Action": "kms:ListAliases", "Resource": "*" }, { "Sid": "KMSOperations", "Effect": "Allow", "Action": "kms:DescribeKey", "Resource": "arn:aws:kms:*:*:key/*" }, { "Sid": "S3Operations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetBucketCors", "s3:GetBucketLocation", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3GetObjectOperation", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" }, "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "S3ListOperations", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "IAMListOperations", "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "*" }, { "Sid": "IAMGetOperations", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "IAMPassOperation", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "events.amazonaws.com" ] } } }, { "Sid": "EventBridgePutOperation", "Effect": "Allow", "Action": [ "events:PutRule" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeOperations", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:PutTargets" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeTagBasedOperations", "Effect": "Allow", "Action": [ "events:TagResource" ], "Resource": "arn:aws:events:*:*:rule/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true", "aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true" } } }, { "Sid": "EventBridgeListTagOperation", "Effect": "Allow", "Action": "events:ListTagsForResource", "Resource": "*" }, { "Sid": "GlueOperations", "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:SearchTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Sid": "EMROperations", "Effect": "Allow", "Action": [ "elasticmapreduce:DescribeCluster", "elasticmapreduce:ListInstanceGroups" ], "Resource": "arn:aws:elasticmapreduce:*:*:cluster/*" }, { "Sid": "EMRListOperation", "Effect": "Allow", "Action": "elasticmapreduce:ListClusters", "Resource": "*" }, { "Sid": "AthenaListDataCatalogOperation", "Effect": "Allow", "Action": "athena:ListDataCatalogs", "Resource": "*" }, { "Sid": "AthenaQueryExecutionOperations", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": "arn:aws:athena:*:*:workgroup/*" }, { "Sid": "AthenaDataCatalogOperations", "Effect": "Allow", "Action": [ "athena:ListDatabases", "athena:ListTableMetadata" ], "Resource": "arn:aws:athena:*:*:datacatalog/*" }, { "Sid": "RedshiftOperations", "Effect": "Allow", "Action": [ "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult" ], "Resource": "*" }, { "Sid": "RedshiftArnBasedOperations", "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": "arn:aws:redshift:*:*:cluster:*" }, { "Sid": "RedshiftGetCredentialsOperation", "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] }, { "Sid": "SecretsManagerARNBasedOperation", "Effect": "Allow", "Action": "secretsmanager:CreateSecret", "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" }, { "Sid": "SecretManagerTagBasedOperation", "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*", "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "RDSOperation", "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Sid": "LoggingOperation", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*" }, { "Sid": "EMRServerlessCreateApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:CreateApplication", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListApplicationOperation", "Effect": "Allow", "Action": "emr-serverless:ListApplications", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessApplicationOperations", "Effect": "Allow", "Action": [ "emr-serverless:UpdateApplication", "emr-serverless:GetApplication" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessStartJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:StartJobRun", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessListJobRunOperation", "Effect": "Allow", "Action": "emr-serverless:ListJobRuns", "Resource": "arn:aws:emr-serverless:*:*:/applications/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessJobRunOperations", "Effect": "Allow", "Action": [ "emr-serverless:GetJobRun", "emr-serverless:CancelJobRun" ], "Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "EMRServerlessTagResourceOperation", "Effect": "Allow", "Action": "emr-serverless:TagResource", "Resource": "arn:aws:emr-serverless:*:*:/*", "Condition": { "StringEquals": { "aws:RequestTag/sagemaker:is-canvas-resource": "True", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "IAMPassOperationForEMRServerless", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*", "arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*" ], "Condition": { "StringEquals": { "iam:PassedToService": "emr-serverless.amazonaws.com", "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
AWSpolitica gestita: AmazonSageMakerCanvasDirectDeployAccess
Questa politica concede le autorizzazioni necessarie ad Amazon SageMaker Canvas per creare e gestire gli endpoint Amazon SageMaker AI.
Dettagli delle autorizzazioni
Questa politica AWS gestita include le seguenti autorizzazioni.
-
sagemaker— Consente ai responsabili di creare e gestire endpoint SageMaker AI con un nome di risorsa ARN che inizia con «Canvas» o «canvas». -
cloudwatch— Consente ai committenti di recuperare i dati CloudWatch metrici di Amazon.
AWSpolitica gestita: accesso AmazonSageMakerCanvas AIServices
Questa politica concede ad Amazon SageMaker Canvas le autorizzazioni per utilizzare Amazon Textract, Amazon Rekognition, Amazon Comprehend e Amazon Bedrock.
Dettagli delle autorizzazioni
Questa politica gestita include le seguenti autorizzazioni. AWS
-
textract: consente alle entità principali di utilizzare Amazon Textract per rilevare documenti, spese e identità all'interno di un'immagine. -
rekognition: consente alle entità principali di utilizzare Amazon Rekognition per rilevare etichette e testo all'interno di un'immagine. -
comprehend: consente alle entità principali di utilizzare Amazon Comprehend per rilevare la valutazione, la lingua principale e infine le entità con nome e informazioni di identificazione personale (PII) all'interno di un documento di testo. -
bedrock: consente alle entità principali di utilizzare Amazon Bedrock per elencare e richiamare modelli di fondazione. -
iam: consente ai principali di passare un ruolo IAM ad Amazon Bedrock.
-
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Textract", "Effect": "Allow", "Action": [ "textract:AnalyzeDocument", "textract:AnalyzeExpense", "textract:AnalyzeID", "textract:StartDocumentAnalysis", "textract:StartExpenseAnalysis", "textract:GetDocumentAnalysis", "textract:GetExpenseAnalysis" ], "Resource": "*" }, { "Sid": "Rekognition", "Effect": "Allow", "Action": [ "rekognition:DetectLabels", "rekognition:DetectText" ], "Resource": "*" }, { "Sid": "Comprehend", "Effect": "Allow", "Action": [ "comprehend:BatchDetectDominantLanguage", "comprehend:BatchDetectEntities", "comprehend:BatchDetectSentiment", "comprehend:DetectPiiEntities", "comprehend:DetectEntities", "comprehend:DetectSentiment", "comprehend:DetectDominantLanguage" ], "Resource": "*" }, { "Sid": "Bedrock", "Effect": "Allow", "Action": [ "bedrock:InvokeModel", "bedrock:ListFoundationModels", "bedrock:InvokeModelWithResponseStream" ], "Resource": "*" }, { "Sid": "CreateBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob", "bedrock:CreateProvisionedModelThroughput", "bedrock:TagResource" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "SageMaker", "Canvas" ] }, "StringEquals": { "aws:RequestTag/SageMaker": "true", "aws:RequestTag/Canvas": "true", "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "GetStopAndDeleteBedrockResourcesPermission", "Effect": "Allow", "Action": [ "bedrock:GetModelCustomizationJob", "bedrock:GetCustomModel", "bedrock:GetProvisionedModelThroughput", "bedrock:StopModelCustomizationJob", "bedrock:DeleteProvisionedModelThroughput" ], "Resource": [ "arn:aws:bedrock:*:*:model-customization-job/*", "arn:aws:bedrock:*:*:custom-model/*", "arn:aws:bedrock:*:*:provisioned-model/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/SageMaker": "true", "aws:ResourceTag/Canvas": "true" } } }, { "Sid": "FoundationModelPermission", "Effect": "Allow", "Action": [ "bedrock:CreateModelCustomizationJob" ], "Resource": [ "arn:aws:bedrock:*::foundation-model/*" ] }, { "Sid": "BedrockFineTuningPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*" ], "Condition": { "StringEquals": { "iam:PassedToService": "bedrock.amazonaws.com" } } } ] }
AWSpolitica gestita: AmazonSageMakerCanvasBedrockAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Bedrock.
Dettagli delle autorizzazioni
Questa politica AWS gestita include le seguenti autorizzazioni.
-
s3: consente ai principali di aggiungere e recuperare oggetti dai bucket Amazon S3 nella directory “sagemaker-*/Canvas”.
AWSpolitica gestita: AmazonSageMakerCanvasForecastAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Forecast.
Dettagli delle autorizzazioni
Questa politica AWS gestita include le seguenti autorizzazioni.
-
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome inizia con "sagemaker-".
AWSpolitica gestita: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Questa politica concede autorizzazioni ad Amazon EMR Serverless per AWS servizi, come Amazon S3, utilizzati da Amazon Canvas per l'elaborazione di dati di grandi dimensioni. SageMaker
Dettagli delle autorizzazioni
Questa politica AWS gestita include le seguenti autorizzazioni.
-
s3: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker" o «sagemaker»; oppure sono contrassegnati con "SageMaker«, senza distinzione tra maiuscole e minuscole.
AWSpolitica gestita: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Questa politica concede le autorizzazioni agli utenti di Amazon SageMaker Canvas per avviare conversazioni con Amazon Q Developer. Questa funzionalità richiede le autorizzazioni sia per Amazon Q Developer che per il servizio SageMaker AI Data Science Assistant.
Dettagli delle autorizzazioni
Questa politica AWS gestita include le seguenti autorizzazioni.
-
q: consente ai principali di inviare prompt ad Amazon Q Developer. -
sagemaker-data-science-assistant— Consente ai dirigenti di inviare prompt al servizio SageMaker Canvas Data Science Assistant.
Aggiornamenti di Amazon SageMaker AI alle politiche gestite di Amazon SageMaker Canvas
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per SageMaker Canvas da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Policy | Versione | Modifica | Data |
|---|---|---|---|
|
AmazonSageMakerCanvasSMDataScienceAssistantAccess - Aggiornamento a una policy esistente |
2 |
Aggiunta l'autorizzazione |
14 gennaio 2025 |
|
AmazonSageMakerCanvasSMDataScienceAssistantAccess: nuova policy |
1 |
Policy iniziale |
4 dicembre 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente |
4 |
Risorsa aggiunta all’autorizzazione |
16 agosto 2024 |
|
AmazonSageMakerCanvasFullAccess - Aggiornamento a una policy esistente |
11 |
Risorsa aggiunta all’autorizzazione |
15 agosto 2024 |
|
AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy: nuova policy |
1 |
Policy iniziale |
26 luglio 2024 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente |
3 |
Aggiunta delle autorizzazioni |
18 luglio 2024 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
10 |
Aggiunta delle autorizzazioni Aggiunta delle autorizzazioni Aggiunte le autorizzazioni Aggiunte le autorizzazioni Aggiunta delle autorizzazioni |
9 luglio 2024 |
|
AmazonSageMakerCanvasBedrockAccess: nuova policy |
1 |
Policy iniziale |
2 febbraio 2024 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
9 |
Aggiunta l'autorizzazione |
24 gennaio 2024 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
8 |
Aggiunta delle autorizzazioni |
8 dicembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente |
2 |
Aggiornamento minore per applicare gli scopi della policy precedente, versione 1. Nessuna autorizzazione aggiunta o eliminata. |
7 dicembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccesso - Aggiornamento a una policy esistente |
3 |
Aggiunta delle autorizzazioni |
29 novembre 2023 |
|
AmazonSageMakerCanvasDataPrepFullAccess - Nuova politica |
1 |
Policy iniziale |
26 ottobre 2023 |
|
AmazonSageMakerCanvasDirectDeployAccess: nuova policy |
1 |
Policy iniziale |
6 ottobre 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
7 |
Aggiunte le autorizzazioni |
29 settembre 2023 |
|
AmazonSageMakerCanvasAIServicesAccesso: aggiornamento a una politica esistente |
2 |
Aggiunte le autorizzazioni |
29 settembre 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
6 |
Aggiunta l'autorizzazione |
29 agosto 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
5 |
Aggiunte le autorizzazioni |
24 luglio 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
4 |
Aggiunte le autorizzazioni |
4 maggio 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
3 |
Aggiunte le autorizzazioni |
24 marzo 2023 |
|
AmazonSageMakerCanvasAIServicesAccesso: nuova politica |
1 |
Policy iniziale |
23 marzo 2023 |
AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente |
2 |
Aggiunta l'autorizzazione |
6 dicembre 2022 |
AmazonSageMakerCanvasFullAccess - Nuova politica |
1 |
Policy iniziale |
8 settembre 2022 |
|
AmazonSageMakerCanvasForecastAccess: nuova policy |
1 |
Policy iniziale |
24 agosto 2022 |
