Policy gestite da AWS per i notebook di SageMaker - Amazon SageMaker AI
AmazonSageMakerNotebooksServiceRolePolicyAggiornamenti alle policy dei notebook di SageMaker

Policy gestite da AWS per i notebook di SageMaker

Queste policy gestite da AWS aggiungono le autorizzazioni richieste per utilizzare i notebook di SageMaker. Le policy sono disponibili nel tuo account AWS e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.

Policy gestita da AWS: AmazonSageMakerNotebooksServiceRolePolicy

Questa policy gestita da AWS concede le autorizzazioni generalmente necessarie per utilizzare i notebook di Amazon SageMaker. La policy viene aggiunta al AWSServiceRoleForAmazonSageMakerNotebooks creato durante l’onboarding in Amazon SageMaker Studio Classic. Per ulteriori informazioni sui ruoli collegati ai servizi, consulta Ruoli collegati ai servizi. Per ulteriori informazioni, consulta AmazonSageMakerNotebooksServiceRolePolicy.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • elasticfilesystem: consente alle entità principali di creare ed eliminare i file system Amazon Elastic File System (EFS), i punti di accesso e i target di montaggio. Sono limitate a quelle contrassegnate con la chiave tag ManagedByAmazonSageMakerResource. Consente alle entità principali di descrivere tutti i file system EFS, i punti di accesso e i target di montaggio. Consente alle entità principali di creare o sovrascrivere i tag per i punti di accesso EFS e i target di montaggio.

  • ec2: consente alle entità principali di creare interfacce di rete e gruppi di sicurezza per le istanze di Amazon Elastic Compute Cloud (EC2). Consente inoltre alle entità principali di creare e sovrascrivere i tag per queste risorse.

  • sso: consente alle entità principali di aggiungere ed eliminare in AWS IAM Identity Center istanze di applicazioni gestite.

  • sagemaker: consente ai principali di creare e leggere i profili utente e gli spazi SageMaker AI, di eliminare gli spazi e le app SageMaker AI e di aggiungere ed elencare i tag.

  • fsx: consente ai principali di descrivere il file system Amazon FSx per Lustre e di utilizzare i metadati per montarlo sul notebook.

{
    "Version": "2012-10-17",
    "Statement": [
        {   
            "Sid": "AllowFSxDescribe",
            "Effect": "Allow",
            "Action": [
                "fsx:DescribeFileSystems",
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Aggiornamento di Amazon SageMaker AI alle policy gestite dei notebook di SageMaker AI

Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per Amazon SageMaker AI a partire da quando questo servizio ha iniziato a tenere traccia delle modifiche.

Policy Versione Modifica Data

AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una policy esistente

10

Aggiunta l'autorizzazione fsx:DescribeFileSystems.

 14 novembre 2024

AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una policy esistente

9

Aggiunta l'autorizzazione sagemaker:DeleteApp.

 24 luglio 2024

AmazonSageMakerNotebooksServiceRolePolicy: aggiornamento a una policy esistente

8

Aggiunte le autorizzazioni sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTags e sagemaker:AddTags.

 22 maggio 2024

AmazonSageMakerNotebooksServiceRolePolicy: aggiornamento a una policy esistente

7

Aggiunta l'autorizzazione elasticfilesystem:TagResource.

 9 marzo 2023

AmazonSageMakerNotebooksServiceRolePolicy: aggiornamento a una policy esistente

6

Aggiunte le autorizzazioni elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPoint e elasticfilesystem:DescribeAccessPoints.

 12 gennaio 2023

SageMaker AI ha iniziato a tenere traccia delle modifiche per le sue policy gestite da AWS.

 1 giugno 2021