Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS politiche gestite per Amazon SageMaker AI
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle autonomamente. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy `ReadOnlyAccess` AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
**Importante**
Ti consigliamo di utilizzare la policy più limitata che consente di eseguire il tuo caso d'uso.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Garantisce l'accesso completo alle risorse geospaziali di Amazon SageMaker SageMaker AI e AI e alle operazioni supportate. Non fornisce l'accesso Amazon S3 illimitato, ma supporta i bucket e gli oggetti con tag `sagemaker` specifici. Questa policy consente di passare tutti i ruoli IAM ad Amazon SageMaker AI, ma consente solo di trasferire i ruoli IAM contenenti AmazonSageMaker "" ai AWS RoboMaker servizi AWS Glue AWS Step Functions, and.
+ **`AmazonSageMakerReadOnly`**— Garantisce l'accesso in sola lettura alle risorse AI di Amazon SageMaker .
Le seguenti politiche AWS gestite possono essere associate agli utenti del tuo account, ma non sono consigliate:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator): concede tutte le operazioni per tutti i servizi AWS e per tutte le risorse nell'account.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist): concede un'ampia gamma di autorizzazioni per coprire la maggior parte dei casi d'uso (principalmente per le attività di analisi e business intelligence) incontrati dai data scientist
Puoi esaminare queste policy di autorizzazione, accedendo alla console IAM e cercandole.
Puoi anche creare policy IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse di Amazon SageMaker AI quando ne hai bisogno. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che ne hanno bisogno.
**Topics**
+ [AWS politica gestita: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS politica gestita: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS politiche gestite per Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS politiche gestite per Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS politiche gestite per Amazon SageMaker geospatial](security-iam-awsmanpol-geospatial.md)
+ [AWS Politiche gestite per Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS politiche gestite per Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Politiche gestite per la governance dei modelli di SageMaker intelligenza artificiale](security-iam-awsmanpol-governance.md)
+ [AWS Politiche gestite per Model Registry](security-iam-awsmanpol-model-registry.md)
+ [AWS Policy gestite per SageMaker notebook](security-iam-awsmanpol-notebooks.md)
+ [AWS politiche gestite per Amazon SageMaker Partner AI Apps](security-iam-awsmanpol-partner-apps.md)
+ [AWS Politiche gestite per le SageMaker condutture](security-iam-awsmanpol-pipelines.md)
+ [AWS politiche gestite per i piani SageMaker di formazione](security-iam-awsmanpol-training-plan.md)
+ [AWS Politiche gestite per SageMaker progetti e JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker Aggiornamenti AI alle politiche AWS gestite](#security-iam-awsmanpol-updates)
## AWS politica gestita: AmazonSageMakerFullAccess
Questa policy concede autorizzazioni amministrative che consentono l'accesso completo e principale a tutte le risorse e le operazioni geospaziali di Amazon SageMaker SageMaker AI e AI. La policy fornisce anche un accesso selezionato ai servizi correlati. Questa policy consente di passare tutti i ruoli IAM ad Amazon SageMaker AI, ma consente solo di trasferire i ruoli IAM contenenti AmazonSageMaker "" ai AWS RoboMaker servizi AWS Glue AWS Step Functions, and. Questa politica non include le autorizzazioni per creare un dominio Amazon SageMaker AI. Per informazioni sulla policy necessaria per creare un dominio, consulta [Prerequisiti completi per Amazon SageMaker AI](gs-set-up.md).
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `application-autoscaling`— Consente ai responsabili di scalare automaticamente un endpoint di SageMaker inferenza AI in tempo reale.
+ `athena`— Consente ai responsabili di interrogare un elenco di cataloghi di dati, database e metadati di tabelle da. Amazon Athena
+ `aws-marketplace`— Consente ai mandanti di visualizzare gli abbonamenti ad AWS AI Marketplace. Ne hai bisogno se desideri accedere al software SageMaker AI sottoscritto. Marketplace AWS
+ `cloudformation`— Consente ai dirigenti di ottenere AWS CloudFormation modelli per l'utilizzo di JumpStart soluzioni e pipeline di SageMaker intelligenza artificiale. SageMaker L'intelligenza artificiale JumpStart crea le risorse necessarie per eseguire soluzioni di end-to-end machine learning che collegano l' SageMaker IA ad altri AWS servizi. SageMaker AI Pipelines crea nuovi progetti supportati da Service Catalog.
+ `cloudwatch`— Consente ai responsabili di pubblicare CloudWatch metriche, interagire con gli allarmi e caricare i log nei registri del tuo account. CloudWatch
+ `codebuild`— Consente ai dirigenti di archiviare artefatti per pipeline e progetti di intelligenza AWS CodeBuild artificiale. SageMaker
+ `codecommit`— Necessario per AWS CodeCommit l'integrazione con SageMaker le istanze di notebook AI.
+ `cognito-idp`— Necessario per Amazon SageMaker Ground Truth per definire la forza lavoro privata e i team di lavoro.
+ `ec2`— Necessario all' SageMaker intelligenza artificiale per gestire le risorse e le interfacce di rete di Amazon EC2 quando si specifica un Amazon VPC per lavori, modelli, endpoint e istanze di notebook di SageMaker intelligenza artificiale.
+ `ecr`— Necessario per estrarre e archiviare artefatti Docker per Amazon SageMaker Studio Classic (immagini personalizzate), formazione, elaborazione, inferenza in batch ed endpoint di inferenza. Ciò è necessario anche per utilizzare il proprio contenitore nell'intelligenza artificiale. SageMaker Sono necessarie autorizzazioni aggiuntive per JumpStart le soluzioni di SageMaker intelligenza artificiale per creare e rimuovere immagini personalizzate per conto degli utenti.
+ `elasticfilesystem`: consente alle entità principali di accedere ad Amazon Elastic File System. Ciò è necessario affinché l' SageMaker IA utilizzi le fonti di dati in Amazon Elastic File System per addestrare modelli di apprendimento automatico.
+ `fsx`— Consente ai mandanti di accedere ad Amazon FSx. Ciò è necessario affinché l' SageMaker IA utilizzi le fonti di dati in Amazon FSx per addestrare modelli di apprendimento automatico.
+ `glue`— Necessario per la preelaborazione della pipeline di inferenza dall'interno delle istanze di notebook SageMaker AI.
+ `groundtruthlabeling`: necessaria per i processi di etichettatura Ground Truth. L'endpoint è `groundtruthlabeling` accessibile dalla console Ground Truth.
+ `iam`— Necessario per consentire alla console SageMaker AI di accedere ai ruoli IAM disponibili e creare ruoli collegati ai servizi.
+ `kms`— Necessario per consentire alla console di SageMaker intelligenza artificiale di accedere alle AWS KMS chiavi disponibili e recuperarle per qualsiasi AWS KMS alias specificato nei job e negli endpoint.
+ `lambda`: consente alle entità principali di richiamare e ottenere un elenco di funzioni AWS Lambda .
+ `logs`— Necessario per consentire SageMaker ai job e agli endpoint AI di pubblicare flussi di log.
+ `redshift`: consente alle entità principali di accedere alle credenziali del cluster Amazon Redshift.
+ `redshift-data`: consente alle entità principali di utilizzare i dati di Amazon Redshift per eseguire, descrivere e annullare le istruzioni, ottenere i risultati delle istruzioni ed elencare schemi e tabelle.
+ `robomaker`— Consente ai responsabili di avere pieno accesso per creare, ottenere descrizioni ed eliminare applicazioni e lavori di AWS RoboMaker simulazione. È necessaria anche per eseguire esempi di apprendimento per rinforzo su istanze del notebook.
+ `s3, s3express`— Consente ai mandanti di avere pieno accesso alle risorse di Amazon S3 e Amazon S3 Express relative SageMaker all'intelligenza artificiale, ma non a tutte le risorse di Amazon S3 o Amazon S3 Express.
+ `sagemaker`— Consente ai responsabili di elencare i tag sui profili utente SageMaker AI e di aggiungere tag alle app e agli spazi AI. SageMaker Consente l'accesso solo alle definizioni di flusso SageMaker AI di sagemaker: WorkteamType «private-crowd» o «vendor-crowd». Consente l'uso e la descrizione dei piani di formazione sull' SageMaker intelligenza artificiale e della capacità riservata nei lavori di SageMaker formazione e nei SageMaker HyperPod cluster, in tutte le AWS regioni in cui la funzionalità dei piani di formazione è accessibile.
+ `sagemaker`e `sagemaker-geospatial` — Consente ai principali l'accesso in sola lettura SageMaker ai domini e ai profili utente AI.
+ `secretsmanager`: consente alle entità principali l'accesso completo a Gestione dei segreti AWS. Le entità principali possono crittografare, archiviare e recuperare le credenziali per i database e altri servizi in modo sicuro. Ciò è necessario anche per le istanze di notebook SageMaker AI con repository di codici SageMaker AI che utilizzano. GitHub
+ `servicecatalog`: consente alle entità principali di utilizzare il Catalogo servizi. I responsabili possono creare, ottenere un elenco, aggiornare o terminare i prodotti forniti, come server, database, siti Web o applicazioni distribuite utilizzando risorse. AWS Ciò è necessario all' SageMaker intelligenza artificiale JumpStart e ai progetti per trovare e leggere i prodotti del catalogo dei servizi e lanciare AWS risorse agli utenti.
+ `sns`: consente alle entità principali di ottenere un elenco di argomenti di Amazon SNS. È necessaria per gli endpoint con inferenza asincrona abilitata per avvisare gli utenti che l'inferenza è stata completata.
+ `states`— Necessario affinché SageMaker AI JumpStart e Pipelines utilizzino un catalogo di servizi per creare risorse Step Function.
+ `tag`— Necessario per il rendering di SageMaker AI Pipelines in Studio Classic. Studio Classic richiede risorse taggate con una particolare chiave tag `sagemaker:project-id`. Richiede l'autorizzazione `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerReadOnly
Questa policy garantisce l'accesso in sola lettura ad Amazon SageMaker AI tramite l' Console di gestione AWS SDK and.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `application-autoscaling`— Consente agli utenti di sfogliare le descrizioni degli endpoint di inferenza scalabili in SageMaker tempo reale basati sull'intelligenza artificiale.
+ `aws-marketplace`— Consente agli utenti di visualizzare gli abbonamenti ad AWS AI Marketplace.
+ `cloudwatch`— Consente agli utenti di ricevere CloudWatch allarmi.
+ `cognito-idp`— Necessario per consentire ad Amazon SageMaker Ground Truth di consultare le descrizioni e gli elenchi della forza lavoro privata e dei team di lavoro.
+ `ecr`: necessaria per recuperare e memorizzare artefatti Docker per l'addestramento e l'inferenza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS politiche gestite per Amazon SageMaker Canvas
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker Canvas. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS politica gestita: AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS politica gestita: AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS politica gestita: accesso AmazonSageMakerCanvas AIServices](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS politica gestita: AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS politica gestita: AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS politica gestita: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS politica gestita: AmazonSageMakerCanvas SMData ScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Aggiornamenti di Amazon SageMaker AI alle politiche gestite di Amazon SageMaker Canvas](#security-iam-awsmanpol-canvas-updates)
## AWS politica gestita: AmazonSageMakerCanvasFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo ad Amazon SageMaker Canvas tramite l'SDK Console di gestione AWS and. La policy fornisce anche l'accesso selezionato ai servizi correlati [ad esempio, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, CloudWatch Amazon Redshift, Amazon Autopilot, Model Registry, e Gestione dei segreti AWS Amazon Forecast SageMaker ]. SageMaker
Questa politica ha lo scopo di aiutare i clienti a sperimentare e iniziare a utilizzare tutte le funzionalità di Canvas. SageMaker Per un controllo più preciso, suggeriamo ai clienti di creare le proprie versioni con ambito ridotto man mano che passano ai carichi di lavoro di produzione. Per ulteriori informazioni, consulta [IAM policy types: How and when to use them](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/).
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker`— Consente ai responsabili di creare e ospitare modelli di SageMaker intelligenza artificiale su risorse il cui ARN contiene «Canvas», «canvas» o «model-compilation-». Inoltre, gli utenti possono registrare il proprio modello SageMaker Canvas su SageMaker AI Model Registry nello stesso account. AWS Consente inoltre ai responsabili di creare e gestire processi di SageMaker formazione, trasformazione e AutoML.
+ `application-autoscaling`— Consente ai responsabili di scalare automaticamente un endpoint di SageMaker inferenza AI.
+ `athena`: consente ai principali di eseguire query su un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena, nonché di accedere alle tabelle nei cataloghi.
+ `cloudwatch`— Consente ai responsabili di creare e gestire CloudWatch allarmi Amazon.
+ `ec2`: consente alle entità principali di creare endpoint VPC Amazon.
+ `ecr`: consente alle entità principali di ottenere informazioni sull'immagine di un container.
+ `emr-serverless`: consente ai principali di creare e gestire le applicazioni Amazon EMR serverless e le esecuzioni dei processi. Consente inoltre ai mandanti di etichettare le risorse Canvas SageMaker .
+ `forecast`: consente alle entità principali di utilizzare Amazon Forecast.
+ `glue`— Consente ai responsabili di recuperare le tabelle, i database e le partizioni nel catalogo. AWS Glue
+ `iam`— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker AI, Amazon Forecast e Amazon EMR Serverless. Inoltre, consente ai principali di creare un ruolo collegato al servizio.
+ `kms`— Consente ai responsabili di leggere una AWS KMS chiave contrassegnata con. `Source:SageMakerCanvas`
+ `logs`: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento.
+ `quicksight`— Consente ai responsabili di elencare i namespace nell'account Quick.
+ `rds`: consente alle entità principali di restituire informazioni sulle istanze Amazon RDS per cui è stato effettuato il provisioning.
+ `redshift`: consente alle entità principali di ottenere le credenziali per un dbuser "sagemaker\$1access\$1" su qualsiasi cluster Amazon Redshift, se tale utente esiste.
+ `redshift-data`: consente alle entità principali di eseguire query su Amazon Redshift utilizzando l'API di dati di Amazon Redshift. Ciò fornisce solo l'accesso ai dati Redshift APIs stessi e non fornisce l'accesso diretto ai cluster Amazon Redshift. Per ulteriori informazioni, consulta [Uso dell'API dati di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker». Consente inoltre ai principali di recuperare oggetti dai bucket Amazon S3 il cui ARN inizia con jumpstart-cache-prod "-» in regioni specifiche.
+ `secretsmanager`: consente alle entità principali di memorizzare le credenziali dei clienti per connettersi a un database Snowflake utilizzando il Gestore dei segreti.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politica gestita: AmazonSageMakerCanvasDataPrepFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo alla funzionalità di preparazione dei dati di Amazon SageMaker Canvas. La policy fornisce anche le autorizzazioni con privilegi minimi per i servizi che si integrano con la funzionalità di preparazione dei dati [ad esempio, Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), Amazon EMR, Amazon, Amazon Redshift, () e]. EventBridge AWS Key Management Service AWS KMS Gestione dei segreti AWS
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker`: consente ai principali di accedere ai processi di elaborazione, ai job di addestramento, alle pipeline di inferenza, ai processi AutoML e ai gruppi di funzionalità.
+ `athena`: consente ai principali di eseguire query su un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena.
+ `elasticmapreduce`: consente ai principali di leggere ed elencare i cluster Amazon EMR.
+ `emr-serverless`: consente ai principali di creare e gestire le applicazioni Amazon EMR serverless e le esecuzioni dei processi. Consente inoltre ai responsabili di etichettare le risorse SageMaker Canvas.
+ `events`— Consente ai responsabili di creare, leggere, aggiornare e aggiungere obiettivi alle EventBridge regole di Amazon per i lavori pianificati.
+ `glue`— Consente ai responsabili di ottenere e cercare tabelle dai database del AWS Glue catalogo.
+ `iam`— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker AI e Amazon EMR Serverless. EventBridge Inoltre, consente ai principali di creare un ruolo collegato al servizio.
+ `kms`— Consente ai responsabili di recuperare gli AWS KMS alias archiviati nei job e negli endpoint e di accedere alla chiave KMS associata.
+ `logs`: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento.
+ `redshift`: consente ai principali di ottenere le credenziali per accedere al database Amazon Redshift.
+ `redshift-data`: consente ai principali di eseguire, annullare, descrivere, elencare e ottenere i risultati delle query di Amazon Redshift. Consente inoltre ai principali di elencare schemi e tabelle di Amazon Redshift.
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker»; oppure sono etichettati con "«, senza distinzione tra maiuscole e minuscole. SageMaker
+ `secretsmanager`: consente ai principali di archiviare e recuperare le credenziali dei database de clienti utilizzando Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politica gestita: AmazonSageMakerCanvasDirectDeployAccess
Questa politica concede le autorizzazioni necessarie ad Amazon SageMaker Canvas per creare e gestire gli endpoint Amazon SageMaker AI.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker`— Consente ai responsabili di creare e gestire endpoint SageMaker AI con un nome di risorsa ARN che inizia con «Canvas» o «canvas».
+ `cloudwatch`— Consente ai committenti di recuperare i dati CloudWatch metrici di Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: accesso AmazonSageMakerCanvas AIServices
Questa politica concede ad Amazon SageMaker Canvas le autorizzazioni per utilizzare Amazon Textract, Amazon Rekognition, Amazon Comprehend e Amazon Bedrock.
**Dettagli delle autorizzazioni**
Questa politica gestita include le seguenti autorizzazioni. AWS
+ `textract`: consente alle entità principali di utilizzare Amazon Textract per rilevare documenti, spese e identità all'interno di un'immagine.
+ `rekognition`: consente alle entità principali di utilizzare Amazon Rekognition per rilevare etichette e testo all'interno di un'immagine.
+ `comprehend`: consente alle entità principali di utilizzare Amazon Comprehend per rilevare la valutazione, la lingua principale e infine le entità con nome e informazioni di identificazione personale (PII) all'interno di un documento di testo.
+ `bedrock`: consente alle entità principali di utilizzare Amazon Bedrock per elencare e richiamare modelli di fondazione.
+ `iam`: consente ai principali di passare un ruolo IAM ad Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS politica gestita: AmazonSageMakerCanvasBedrockAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Bedrock.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente ai principali di aggiungere e recuperare oggetti dai bucket Amazon S3 nella directory “sagemaker-\$1/Canvas”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerCanvasForecastAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Forecast.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome inizia con "sagemaker-".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Questa politica concede autorizzazioni ad Amazon EMR Serverless per AWS servizi, come Amazon S3, utilizzati da Amazon Canvas per l'elaborazione di dati di grandi dimensioni. SageMaker
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker" o «sagemaker»; oppure sono contrassegnati con "SageMaker«, senza distinzione tra maiuscole e minuscole.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Questa politica concede le autorizzazioni agli utenti di Amazon SageMaker Canvas per avviare conversazioni con Amazon Q Developer. Questa funzionalità richiede le autorizzazioni sia per Amazon Q Developer che per il servizio SageMaker AI Data Science Assistant.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `q`: consente ai principali di inviare prompt ad Amazon Q Developer.
+ `sagemaker-data-science-assistant`— Consente ai dirigenti di inviare prompt al servizio SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Aggiornamenti di Amazon SageMaker AI alle politiche gestite di Amazon SageMaker Canvas
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per SageMaker Canvas da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - Aggiornamento a una policy esistente | 2 | Aggiunta l'autorizzazione `q:StartConversation`. | 14 gennaio 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess): nuova policy | 1 | Policy iniziale | 4 dicembre 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) - Aggiornamento a una policy esistente | 4 | Risorsa aggiunta all’autorizzazione `IAMPassOperationForEMRServerless`. | 16 agosto 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) - Aggiornamento a una policy esistente | 11 | Risorsa aggiunta all’autorizzazione `IAMPassOperationForEMRServerless`. | 15 agosto 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy): nuova policy | 1 | Policy iniziale | 26 luglio 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente | 3 | Aggiunta delle autorizzazioni `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` e `emr-serverless:TagResource`. | 18 luglio 2024 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 10 | Aggiunta delle autorizzazioni `application-autoscaling:DescribeScalingActivities`, `iam:PassRole`, `kms:DescribeKey` e `quicksight:ListNamespaces`. Aggiunta delle autorizzazioni `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` e `sagemaker:StopTransformJob`. Aggiunte le autorizzazioni `athena:ListTableMetadata`, `athena:ListDataCatalogs` e `athena:ListDatabases`. Aggiunte le autorizzazioni `glue:GetDatabases`, `glue:GetPartitions` e `glue:GetTables`. Aggiunta delle autorizzazioni `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` e `emr-serverless:TagResource`. | 9 luglio 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess): nuova policy | 1 | Policy iniziale | 2 febbraio 2024 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 9 | Aggiunta l'autorizzazione `sagemaker:ListEndpoints`. | 24 gennaio 2024 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 8 | Aggiunta delle autorizzazioni `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` e `iam:CreateServiceLinkedRole`. | 8 dicembre 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente | 2 | Aggiornamento minore per applicare gli scopi della policy precedente, versione 1. Nessuna autorizzazione aggiunta o eliminata. | 7 dicembre 2023 |
| [AmazonSageMakerCanvasAIServicesAccesso](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) - Aggiornamento a una policy esistente | 3 | Aggiunta delle autorizzazioni `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` e `iam:PassRole`. | 29 novembre 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Nuova politica | 1 | Policy iniziale | 26 ottobre 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess): nuova policy | 1 | Policy iniziale | 6 ottobre 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 7 | Aggiunte le autorizzazioni `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel` e `sagemaker:InvokeEndpoint`. Aggiungi anche `s3:GetObject` l'autorizzazione per JumpStart le risorse in regioni specifiche. | 29 settembre 2023 |
| AmazonSageMakerCanvasAIServicesAccesso: aggiornamento a una politica esistente | 2 | Aggiunte le autorizzazioni `bedrock:InvokeModel` e `bedrock:ListFoundationModels`. | 29 settembre 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 6 | Aggiunta l'autorizzazione `rds:DescribeDBInstances`. | 29 agosto 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 5 | Aggiunte le autorizzazioni `application-autoscaling:PutScalingPolicy` e `application-autoscaling:RegisterScalableTarget`. | 24 luglio 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 4 | Aggiunte le autorizzazioni `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages` e `sagemaker:ListModelPackageGroups`. | 4 maggio 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 3 | Aggiunte le autorizzazioni `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` e `glue:SearchTables`. | 24 marzo 2023 |
| AmazonSageMakerCanvasAIServicesAccesso: nuova politica | 1 | Policy iniziale | 23 marzo 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 2 | Aggiunta l'autorizzazione `forecast:DeleteResourceTree`. | 6 dicembre 2022 |
| AmazonSageMakerCanvasFullAccess - Nuova politica | 1 | Policy iniziale | 8 settembre 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess): nuova policy | 1 | Policy iniziale | 24 agosto 2022 |
# AWS politiche gestite per Amazon SageMaker Feature Store
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Feature Store. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Amazon SageMaker AI aggiorna le politiche gestite da Amazon SageMaker Feature Store](#security-iam-awsmanpol-feature-store-updates)
## AWS politica gestita: AmazonSageMakerFeatureStoreAccess
Questa politica concede le autorizzazioni necessarie per abilitare lo store offline per un gruppo di funzionalità di Amazon SageMaker Feature Store.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente alle entità principali di scrivere dati in un bucket Amazon S3 dell'archivio offline. Questi bucket sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker».
+ `s3`: consente alle entità principali di leggere i file manifest esistenti conservati nella cartella `metadata` di un bucket S3 dell'archivio offline.
+ `glue`— Consente ai responsabili di leggere e aggiornare le tabelle AWS Glue. Queste autorizzazioni sono limitate alle tabelle della cartella `sagemaker_featurestore`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite da Amazon SageMaker Feature Store
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Feature Store da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) - Aggiornamento a una policy esistente | 3 | Aggiunte le autorizzazioni `s3:GetObject`, `glue:GetTable` e `glue:UpdateTable`. | 5 dicembre 2022 |
| AmazonSageMakerFeatureStoreAccess - Aggiornamento a una politica esistente | 2 | Aggiunta l'autorizzazione `s3:PutObjectAcl`. | 23 febbraio 2021 |
| AmazonSageMakerFeatureStoreAccess - Nuova politica | 1 | Policy iniziale | 1 dicembre 2020 |
# AWS politiche gestite per Amazon SageMaker geospatial
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per l'utilizzo di dati geospaziali. SageMaker Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console AI. SageMaker
**Topics**
+ [AWS politica gestita: AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS politica gestita: AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Amazon SageMaker AI si aggiorna alle politiche gestite SageMaker geospaziali di Amazon](#security-iam-awsmanpol-geospatial-updates)
## AWS politica gestita: AmazonSageMakerGeospatialFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo ad Amazon SageMaker Geospatial tramite l'SDK and. Console di gestione AWS
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker-geospatial`— Consente ai mandanti l'accesso completo a tutte le risorse SageMaker geospaziali.
+ `iam`— Consente ai responsabili di trasferire un ruolo IAM a geospatial. SageMaker
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerGeospatialExecutionRole
Questa politica concede le autorizzazioni comunemente necessarie per l'utilizzo SageMaker di dati geospaziali.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome contiene "SageMaker«, «Sagemaker» o «sagemaker».
+ `sagemaker-geospatial`: consente alle entità principali di accedere ai processi di osservazione di Earth tramite l'API `GetEarthObservationJob`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI si aggiorna alle politiche gestite SageMaker geospaziali di Amazon
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per il settore SageMaker geospaziale da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole): policy aggiornata | 2 | Aggiunta l'autorizzazione `sagemaker-geospatial:GetRasterDataCollection`. | 10 maggio 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess): nuova policy | 1 | Policy iniziale | 30 novembre 2022 |
| AmazonSageMakerGeospatialExecutionRole - Nuova politica | 1 | Policy iniziale | 30 novembre 2022 |
# AWS Politiche gestite per Amazon SageMaker Ground Truth
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare SageMaker AI Ground Truth. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI aggiorna le politiche gestite da SageMaker AI Ground Truth](#security-iam-awsmanpol-groundtruth-updates)
## AWS politica gestita: AmazonSageMakerGroundTruthExecution
Questa politica AWS gestita concede le autorizzazioni comunemente necessarie per utilizzare SageMaker AI Ground Truth.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `lambda`— Consente ai principali di richiamare funzioni Lambda il cui nome include «sagemaker» (senza distinzione tra maiuscole e minuscole), "«o"». GtRecipe LabelingFunction
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome senza distinzione tra maiuscole e minuscole contiene «groundtruth» o «sagemaker» o sono etichettati con "». SageMaker
+ `cloudwatch`— Consente ai dirigenti di pubblicare metriche. CloudWatch
+ `logs`: consente alle entità principali di creare e accedere ai flussi di log e di pubblicare eventi di log.
+ `sqs`: consente alle entità principali di creare code Amazon SQS e inviare e ricevere messaggi Amazon SQS. Queste autorizzazioni sono limitate alle code il cui nome include "». GroundTruth
+ `sns`: consente alle entità principali di sottoscrivere e pubblicare messaggi su argomenti di Amazon SNS il cui nome insensibile alle maiuscole e minuscole contiene "groundtruth" o "sagemaker".
+ `ec2`— Consente ai responsabili di creare, descrivere ed eliminare endpoint Amazon VPC il cui nome del servizio di endpoint VPC sagemaker-task-resources contiene "" o «etichettatura».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite da SageMaker AI Ground Truth
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI Ground Truth da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) - Aggiornamento a una policy esistente | 3 | Aggiunte le autorizzazioni `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` e `ec2:DeleteVpcEndpoints`. | 29 aprile 2022 |
| AmazonSageMakerGroundTruthExecution - Aggiornamento a una politica esistente | 2 | Rimossa l'autorizzazione `sqs:SendMessageBatch`. | 11 aprile 2022 |
| AmazonSageMakerGroundTruthExecution - Nuova politica | 1 | Policy iniziale | 20 luglio 2020 |
# AWS politiche gestite per Amazon SageMaker HyperPod
Le seguenti politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker HyperPod. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console di SageMaker intelligenza artificiale o dal ruolo collegato al HyperPod servizio.
**Topics**
+ [AWS politica gestita: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS politica gestita: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS politica gestita: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS politica gestita: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Aggiornamenti di Amazon SageMaker AI alle politiche SageMaker HyperPod gestite](#security-iam-awsmanpol-hyperpod-updates)
# AWS politica gestita: AmazonSageMakerHyperPodTrainingOperatorAccess
Questa politica fornisce le autorizzazioni amministrative necessarie per configurare l'operatore di formazione. SageMaker HyperPod Consente l'accesso ai SageMaker HyperPod componenti aggiuntivi di Amazon EKS. La policy include le autorizzazioni per descrivere SageMaker HyperPod le risorse del tuo account.
**Dettagli dell’autorizzazione**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker:DescribeClusterNode`- Consente agli utenti di restituire informazioni su un HyperPod cluster.
Per visualizzare le autorizzazioni per questa politica, consulta [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)il AWS Managed Policy Reference.
# AWS politica gestita: AmazonSageMakerHyperPodObservabilityAdminAccess
Questa politica fornisce i privilegi amministrativi necessari per configurare l' SageMaker HyperPodosservabilità di Amazon. Concede l’accesso ai componenti aggiuntivi Servizio gestito da Amazon per Prometheus, Grafana gestito da Amazon e Amazon Elastic Kubernetes Service. La policy include anche un ampio accesso a Grafana HTTP APIs ServiceAccountTokens attraverso tutte le aree di lavoro Amazon Managed Grafana del tuo account.
**Dettagli dell’autorizzazione**
L’elenco seguente fornisce una panoramica delle autorizzazioni incluse in questa policy.
+ `prometheus`: crea e gestisce spazi di lavoro e gruppi di regole del Servizio gestito da Amazon per Prometheus
+ `grafana`: crea e gestisce spazi di lavoro e account di servizio di Grafana gestito da Amazon
+ `eks`: crea e gestisce il componente aggiuntivo `amazon-sagemaker-hyperpod-observability` di Amazon EKS
+ `iam`: passa ruoli di servizio IAM specifici a Grafana gestito da Amazon e Amazon EKS
+ `sagemaker`— Elenca e descrive i cluster SageMaker HyperPod
+ `sso`: crea e gestisce le istanze dell’applicazione Centro identità IAM per la configurazione di Grafana gestito da Amazon
+ `tag`: tagga le risorse dei componenti aggiuntivi Servizio gestito da Amazon per Prometheus, Grafana gestito da Amazon e Amazon EKS
Per visualizzare la policy JSON, vedere. [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html)
# AWS politica gestita: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod crea e utilizza il ruolo collegato al servizio denominato `AWSServiceRoleForSageMakerHyperPod` con l'`AmazonSageMakerHyperPodServiceRolePolicy`allegato al ruolo. Questa politica concede SageMaker HyperPod le autorizzazioni di Amazon per AWS servizi correlati come Amazon EKS e Amazon. CloudWatch
Il ruolo collegato al servizio semplifica la configurazione SageMaker HyperPod perché non è necessario aggiungere manualmente le autorizzazioni necessarie. SageMaker HyperPod definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. SageMaker HyperPod Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi SageMaker HyperPod le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
`AmazonSageMakerHyperPodServiceRolePolicy`Consente di SageMaker HyperPod completare le seguenti azioni sulle risorse specificate per tuo conto.
**Dettagli delle autorizzazioni**
Questa policy di ruolo collegata al servizio include le autorizzazioni seguenti.
+ `eks`: consente ai principali di leggere le informazioni sul cluster Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Consente ai responsabili di pubblicare i flussi di CloudWatch log di Amazon su. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per SageMaker HyperPod
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un SageMaker HyperPod cluster utilizzando la console SageMaker AI, o il AWS CLI AWS SDKs, SageMaker HyperPod crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio ma devi crearlo di nuovo, puoi utilizzare lo stesso processo (creare un nuovo SageMaker HyperPod cluster) per ricreare il ruolo nel tuo account.
## Modifica di un ruolo collegato al servizio per SageMaker HyperPod
SageMaker HyperPod non consente di modificare il ruolo collegato al `AWSServiceRoleForSageMakerHyperPod` servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per SageMaker HyperPod
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Per eliminare le risorse SageMaker HyperPod del cluster utilizzando il ruolo collegato al servizio**
Utilizza una delle seguenti opzioni per eliminare le risorse SageMaker HyperPod del cluster.
+ [Elimina un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) utilizzando la console SageMaker AI
+ [Eliminare un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) utilizzando il AWS CLI
**Nota**
Se il SageMaker HyperPod servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo `AWSServiceRoleForSageMakerHyperPod` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi SageMaker HyperPod
SageMaker HyperPod supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, vedere [Prerequisiti per](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html). SageMaker HyperPod
# AWS politica gestita: AmazonSageMakerClusterInstanceRolePolicy
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon. SageMaker HyperPod
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `cloudwatch`— Consente ai mandanti di pubblicare le CloudWatch metriche di Amazon.
+ `logs`— Consente ai mandanti di pubblicare CloudWatch flussi di log.
+ `s3`: consente ai principali di elencare e recuperare i file di script del ciclo di vita da un bucket Amazon S3 nell’account. Questi bucket sono limitati a quelli il cui nome inizia con “sagemaker-”.
+ `ssmmessages`: consente ai principali di aprire una connessione a AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Aggiornamenti di Amazon SageMaker AI alle politiche SageMaker HyperPod gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite SageMaker HyperPod da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md): nuova policy | 1 | Policy iniziale | 22 agosto 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): policy aggiornata | 2 | È stata aggiornata la policy per limitare l’ambito di applicazione del ruolo per includere il prefisso `service-role`. Sono state inoltre aggiunte le autorizzazioni necessarie per `eks:DeletePodIdentityAssociation` `eks:UpdatePodIdentityAssociation` end-to-end le azioni amministrative. | 19 agosto 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): nuova policy | 1 | Policy iniziale | 10 luglio 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md): nuova policy | 1 | Policy iniziale | 9 settembre 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md): nuova policy | 1 | Policy iniziale | 29 novembre 2023 |
# AWS Politiche gestite per la governance dei modelli di SageMaker intelligenza artificiale
Questa policy AWS gestita aggiunge le autorizzazioni necessarie per utilizzare SageMaker AI Model Governance. La policy è disponibile nel tuo AWS account e viene utilizzata dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Model Governance](#security-iam-awsmanpol-governance-updates)
## AWS politica gestita: AmazonSageMakerModelGovernanceUseAccess
Questa policy AWS gestita concede le autorizzazioni necessarie per utilizzare tutte le funzionalità di Amazon SageMaker AI Governance. La politica è disponibile nel tuo AWS account.
Questa policy include le seguenti autorizzazioni:
+ `s3`: recupera oggetti dai bucket Amazon S3. Gli oggetti recuperabili sono limitati a quelli il cui nome insensibile alle maiuscole e minuscole contiene la stringa `"sagemaker"`.
+ `kms`— Elenca le AWS KMS chiavi da utilizzare per la crittografia dei contenuti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Model Governance
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per SageMaker AI Model Governance da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) - Aggiornamento a una policy esistente | 3 | Aggiungi dichiarazione IDs ()`Sid`. | 4 giugno 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Aggiornamento a una politica esistente | 2 | Aggiunte le autorizzazioni `sagemaker:DescribeModelPackage` e `DescribeModelPackageGroup`. | 17 luglio 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Nuova politica | 1 | Policy iniziale | 30 novembre 2022 |
# AWS Politiche gestite per Model Registry
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Model Registry. Le policy sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console Amazon SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Amazon SageMaker AI si aggiorna alle politiche gestite da Model Registry](#security-iam-awsmanpol-model-registry-updates)
## AWS politica gestita: AmazonSageMakerModelRegistryFullAccess
Questa politica AWS gestita concede le autorizzazioni necessarie per utilizzare tutte le funzionalità di Model Registry all'interno di un dominio Amazon SageMaker AI. Questa policy è collegata a un ruolo di esecuzione durante la configurazione delle impostazioni di Model Registry per abilitare le autorizzazioni di Model Registry.
Questa policy include le seguenti autorizzazioni:
+ `ecr`: consente alle entità principali di recuperare le informazioni, inclusi i metadati, sulle immagini Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Consente ai responsabili di trasferire il ruolo di esecuzione al servizio Amazon SageMaker AI.
+ `resource-groups`— Consente ai principali di creare, elencare, etichettare ed eliminare. AWS Resource Groups
+ `s3`: consente alle entità principali di recuperare oggetti dai bucket Amazon Simple Storage Service (Amazon S3) in cui sono archiviate le versioni del modello. Gli oggetti recuperabili sono limitati a quelli il cui nome insensibile alle maiuscole e minuscole contiene la stringa `"sagemaker"`.
+ `sagemaker`— Consente ai responsabili di catalogare, gestire e distribuire modelli utilizzando il Model SageMaker Registry.
+ `kms`— Consente solo al responsabile del servizio SageMaker AI di aggiungere una concessione, generare chiavi di dati, decrittografare e leggere chiavi e solo AWS KMS le chiavi contrassegnate per l'uso come «sagemaker».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI si aggiorna alle politiche gestite da Model Registry
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Model Registry da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) - Aggiornamento a una policy esistente | 2 | Aggiungi le autorizzazioni `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` e `kms:Decrypt`. | 6 giugno 2024 |
| AmazonSageMakerModelRegistryFullAccess - Nuova politica | 1 | Policy iniziale | 12 aprile 2023 |
# AWS Policy gestite per SageMaker notebook
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare i notebook. SageMaker Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console AI. SageMaker
**Topics**
+ [AWS politica gestita: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS politica gestita: AmazonSageMakerNotebooksServiceRolePolicy
Questa politica AWS gestita concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Notebooks. La policy viene aggiunta a `AWSServiceRoleForAmazonSageMakerNotebooks` quella creata durante l'onboarding su Amazon SageMaker Studio Classic. Per ulteriori informazioni sui ruoli collegati ai servizi, consulta [Ruoli collegati ai servizi](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Per ulteriori informazioni, consulta [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `elasticfilesystem`: consente alle entità principali di creare ed eliminare i file system Amazon Elastic File System (EFS), i punti di accesso e i target di montaggio. Queste sono limitate a quelle contrassegnate con la chiave *ManagedByAmazonSageMakerResource*. Consente alle entità principali di descrivere tutti i file system EFS, i punti di accesso e i target di montaggio. Consente alle entità principali di creare o sovrascrivere i tag per i punti di accesso EFS e i target di montaggio.
+ `ec2`: consente alle entità principali di creare interfacce di rete e gruppi di sicurezza per le istanze di Amazon Elastic Compute Cloud (EC2). Consente inoltre alle entità principali di creare e sovrascrivere i tag per queste risorse.
+ `sso`: consente alle entità principali di aggiungere ed eliminare in AWS IAM Identity Center istanze di applicazioni gestite.
+ `sagemaker`— Consente ai responsabili di creare e leggere SageMaker profili utente e spazi SageMaker AI, eliminare spazi SageMaker AI e app SageMaker AI e aggiungere ed elencare tag.
+ `fsx`— Consente ai responsabili di descrivere il file system Amazon FSx for Lustre e di utilizzare i metadati per montarlo sul notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Notebooks
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Aggiornamento a una policy esistente | 10 | Aggiunta l'autorizzazione `fsx:DescribeFileSystems`. | 14 novembre 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Aggiornamento a una policy esistente | 9 | Aggiunta l'autorizzazione `sagemaker:DeleteApp`. | 24 luglio 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente | 8 | Aggiunte le autorizzazioni `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` e `sagemaker:AddTags`. | 22 maggio 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente | 7 | Aggiunta l'autorizzazione `elasticfilesystem:TagResource`. | 9 marzo 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente | 6 | Aggiunte le autorizzazioni `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` e `elasticfilesystem:DescribeAccessPoints`. | 12 gennaio 2023 |
| | | SageMaker L'intelligenza artificiale ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. | 1 giugno 2021 |
# AWS politiche gestite per Amazon SageMaker Partner AI Apps
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker Partner AI Apps. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Aggiornamenti di Amazon SageMaker AI alle politiche gestite da Partner AI Apps](#security-iam-awsmanpol-partner-apps-updates)
## AWS politica gestita: AmazonSageMakerPartnerAppsFullAccess
Consente l'accesso amministrativo completo alle app AI di Amazon SageMaker Partner.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker`— Fornisce agli utenti dell'app Amazon SageMaker Partner AI il permesso di accedere alle applicazioni, elencare le applicazioni disponibili, avviare applicazioni Web UIs e connettersi utilizzando l'SDK dell'applicazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Aggiornamenti di Amazon SageMaker AI alle politiche gestite da Partner AI Apps
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Partner AI Apps da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Nuova politica | 1 | Policy iniziale | 17 gennaio 2025 |
# AWS Politiche gestite per le SageMaker condutture
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare SageMaker Pipelines. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI aggiorna le politiche gestite da SageMaker AI Pipelines](#security-iam-awsmanpol-pipelines-updates)
## AWS politica gestita: AmazonSageMakerPipelinesIntegrations
Questa policy AWS gestita concede le autorizzazioni comunemente necessarie per utilizzare i passaggi Callback e i passaggi Lambda in Pipelines. SageMaker La policy viene aggiunta a `AmazonSageMaker-ExecutionRole` quella creata durante l'onboarding su Amazon SageMaker Studio Classic. La policy può essere collegata a qualsiasi ruolo utilizzato per la creazione o l'esecuzione di una pipeline.
Questa politica concede le autorizzazioni AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon e IAM appropriate necessarie per la creazione di pipeline che richiamano funzioni Lambda o includono passaggi di callback, che possono essere utilizzati per fasi di approvazione manuali o per l'esecuzione di carichi di lavoro personalizzati.
Le autorizzazioni Amazon SQS consentono di creare la coda Amazon SQS necessaria per ricevere messaggi di richiamata e anche per inviare messaggi a quella coda.
Le autorizzazioni Lambda consentono di creare, leggere, aggiornare ed eliminare le funzioni Lambda utilizzate nelle fasi delle pipeline e anche di richiamare tali funzioni Lambda.
Questa policy concede le autorizzazioni di Amazon EMR necessarie per eseguire una fase Amazon EMR delle pipeline.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `elasticmapreduce`: consente di leggere, aggiungere e annullare le fasi in un cluster Amazon EMR in esecuzione. Consente di leggere, creare e terminare un nuovo cluster Amazon EMR.
+ `events`— Leggi, crea, aggiorna e aggiungi obiettivi a una regola denominata and. EventBridge `SageMakerPipelineExecutionEMRStepStatusUpdateRule` `SageMakerPipelineExecutionEMRClusterStatusUpdateRule`
+ `iam`— Trasferisci un ruolo IAM al servizio AWS Lambda, Amazon EMR e Amazon EC2.
+ `lambda`: consente di creare, leggere, aggiornare, eliminare e richiamare funzioni Lambda. Queste autorizzazioni sono limitate alle funzioni il cui nome include "sagemaker".
+ `sqs`: consente di creare una coda Amazon SQS e di inviare un messaggio Amazon SQS. Queste autorizzazioni sono limitate alle code il cui nome include "sagemaker".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite da SageMaker AI Pipelines
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Aggiornamento a una policy esistente | 3 | Aggiunte le autorizzazioni per `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps` e `elasticmapreduce:DescribeCluster`. | 17 febbraio 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Aggiornamento a una policy esistente | 2 | Aggiunte le autorizzazioni per `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps` e `elasticmapreduce:DescribeStep`. | 20 aprile 2022 |
| AmazonSageMakerPipelinesIntegrations - Nuova politica | 1 | Policy iniziale | 30 luglio 2021 |
# AWS politiche gestite per i piani SageMaker di formazione
Questa politica AWS gestita concede le autorizzazioni necessarie per creare e gestire i piani di SageMaker formazione Amazon e la capacità riservata nell' SageMaker intelligenza artificiale. La policy può essere associata ai ruoli IAM utilizzati per creare e gestire piani di formazione e capacità riservata all'interno dell' SageMaker IA, incluso il ruolo di [esecuzione dell'SageMaker IA](sagemaker-roles.md).
**Topics**
+ [AWS politica gestita: AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [Amazon SageMaker AI aggiorna i piani di SageMaker formazione, le politiche gestite](#security-iam-awsmanpol-training-plan-updates)
## AWS politica gestita: AmazonSageMakerTrainingPlanCreateAccess
Questa politica fornisce le autorizzazioni necessarie per creare, descrivere, cercare ed elencare piani di formazione nell' SageMaker IA. Inoltre, consente anche di aggiungere tag ai piani di addestramento e alle risorse di capacità riservata in determinate condizioni.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker`: crea piani di addestramento e capacità riservata, consente di aggiungere tag ai piani di addestramento e capacità riservata quando l’azione di tagging è esclusivamente `CreateTrainingPlan` o `CreateReservedCapacity`, consente di descrivere i piani di addestramento, consente di cercare le offerte dei piani di addestramento ed elencare i piani di addestramento esistenti su tutte le risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI aggiorna i piani di SageMaker formazione, le politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - politica aggiornata | 2 | Politica aggiornata per aggiungere autorizzazioni per recuperare informazioni su una capacità riservata specifica ed elencare tutte le informazioni UltraServers in una capacità riservata. | 29 luglio 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Nuova politica | 1 | Policy iniziale | 4 dicembre 2024 |
# AWS Politiche gestite per SageMaker progetti e JumpStart
Queste policy AWS gestite aggiungono le autorizzazioni per utilizzare modelli e JumpStart soluzioni di progetto Amazon SageMaker AI integrati. Le policy sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
SageMaker Progetta e JumpStart utilizza AWS Service Catalog per fornire AWS risorse negli account dei clienti. Alcune risorse create devono assumere un ruolo di esecuzione. Ad esempio, se AWS Service Catalog crea una CodePipeline pipeline per conto di un cliente per un CI/CD progetto di machine learning basato sull' SageMaker intelligenza artificiale, tale pipeline richiede un ruolo IAM.
Il [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)ruolo dispone delle autorizzazioni necessarie per avviare il portafoglio di prodotti SageMaker AI da AWS Service Catalog. Il [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)ruolo dispone delle autorizzazioni necessarie per utilizzare il portafoglio di prodotti SageMaker AI di AWS Service Catalog. Il `AmazonSageMakerServiceCatalogProductsLaunchRole` ruolo passa un `AmazonSageMakerServiceCatalogProductsUseRole` ruolo alle risorse di prodotto AWS Service Catalog fornite.
**Topics**
+ [AWS politica gestita: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS politica gestita: politica AmazonSageMakerServiceCatalogProductsCloudformationServiceRole](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsEventsServiceRole politica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole politica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsGlueServiceRole politica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS politica gestita: politica AmazonSageMakerServiceCatalogProductsLambdaServiceRole](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [Amazon SageMaker AI aggiorna le politiche AWS gestite di AWS Service Catalog](#security-iam-awsmanpol-sc-updates)
## AWS politica gestita: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Questa politica del ruolo di servizio viene utilizzata dal AWS Service Catalog servizio per fornire prodotti del portafoglio Amazon SageMaker AI. La politica concede le autorizzazioni a una serie di AWS servizi correlati tra cui AWS CodePipeline,, AWS CodeBuild, AWS CodeCommit AWS Glue e AWS CloudFormation altri.
La `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` policy è pensata per essere utilizzata dal `AmazonSageMakerServiceCatalogProductsLaunchRole` ruolo creato dalla console SageMaker AI. La politica aggiunge le autorizzazioni per fornire AWS risorse per SageMaker Projects e JumpStart utilizzare Service Catalog all'account di un cliente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `apigateway`: consente al ruolo di chiamare gli endpoint Gateway API contrassegnati con il tag `sagemaker:launch-source`.
+ `cloudformation`— Consente di AWS Service Catalog creare, aggiornare ed eliminare CloudFormation pile. Consente inoltre al Catalogo dei servizi di taggare e rimuovere i tag dalle risorse.
+ `codebuild`— Consente al ruolo assunto AWS Service Catalog e passato di CloudFormation creare, aggiornare ed eliminare CodeBuild progetti.
+ `codecommit`— Consente al ruolo assunto AWS Service Catalog e passato CloudFormation a creare, aggiornare ed eliminare i CodeCommit repository.
+ `codepipeline`— Consente al ruolo assunto AWS Service Catalog e passato di CloudFormation creare, aggiornare ed eliminare CodePipelines.
+ `codeconnections`, `codestar-connections` — Consente inoltre il passaggio del ruolo AWS CodeConnections e AWS CodeStar le connessioni.
+ `cognito-idp`: consente al ruolo di creare, aggiornare ed eliminare gruppi e pool di utenti. Consente inoltre di assegnare tag alle risorse.
+ `ecr`— Consente il ruolo assunto AWS Service Catalog e passato CloudFormation a creare ed eliminare repository Amazon ECR. Consente inoltre di assegnare tag alle risorse.
+ `events`— Consente al ruolo assunto AWS Service Catalog e passato di CloudFormation creare ed eliminare EventBridge regole. Utilizzata per legare insieme i vari componenti della pipeline CICD.
+ `firehose`: consente al ruolo di interagire con i flussi Firehose.
+ `glue`— Consente al ruolo di interagire con AWS Glue.
+ `iam`: consente al ruolo di passare i ruoli preceduti da `AmazonSageMakerServiceCatalog`. È necessaria quando i progetti effettuano il provisioning di un prodotto AWS Service Catalog , poiché è necessario passare un ruolo a AWS Service Catalog.
+ `lambda`: consente al ruolo di interagire con AWS Lambda. Consente inoltre di assegnare tag alle risorse.
+ `logs`: consente al ruolo di creare, eliminare e accedere ai flussi di log.
+ `s3`— Consente al ruolo assunto AWS Service Catalog e passato di accedere CloudFormation ai bucket Amazon S3 in cui è memorizzato il codice del modello di progetto.
+ `sagemaker`— Consente al ruolo di interagire con vari servizi di SageMaker intelligenza artificiale. Questa operazione viene eseguita sia CloudFormation durante il provisioning del modello, sia CodeBuild durante l'esecuzione della pipeline CICD. Consente inoltre di assegnare tag alle seguenti risorse: endpoint, configurazioni degli endpoint, modelli, pipeline, progetti e pacchetti di modelli.
+ `states`: consente al ruolo di creare, eliminare e aggiornare il servizio Step Functions preceduto da `sagemaker`.
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) nel Managed Policy Reference. AWS
## AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Questa politica viene utilizzata da Amazon API Gateway all'interno AWS Service Catalog dei prodotti forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da API Gateway che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `lambda`: consente di richiamare una funzione creata da un modello di partner.
+ `sagemaker`: consente di richiamare un endpoint creato da un modello di partner.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Questa politica viene utilizzata AWS CloudFormation all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)viene trasferito alle AWS risorse create CloudFormation che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`: consente di passare i ruoli `AmazonSageMakerServiceCatalogProductsLambdaRole` e `AmazonSageMakerServiceCatalogProductsApiGatewayRole`.
+ `lambda`— Creare, aggiornare, eliminare e richiamare AWS Lambda funzioni; recuperare, pubblicare ed eliminare versioni di un layer Lambda.
+ `apigateway`: consente di creare, aggiornare ed eliminare le risorse Gateway Amazon API.
+ `s3`: consente di recuperare il file `lambda-auth-code/layer.zip` da un bucket Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Questa politica viene utilizzata AWS Lambda all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da Lambda che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `secretsmanager`: consente di recuperare i dati dai segreti forniti dal partner per un modello di partner.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Questa politica viene utilizzata da Amazon API Gateway all'interno AWS Service Catalog dei prodotti forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da API Gateway che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `logs`— Creare e leggere gruppi di CloudWatch log, flussi ed eventi; aggiornare gli eventi; descrivere varie risorse.
Queste autorizzazioni sono limitate alle risorse il cui prefisso del gruppo di log inizia con "aws/apigateway/".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS politica gestita: politica AmazonSageMakerServiceCatalogProductsCloudformationServiceRole
Questa politica viene utilizzata AWS CloudFormation all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)viene trasferito alle AWS risorse create CloudFormation che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker`— Consenti l'accesso a varie risorse SageMaker AI, esclusi domini, profili utente, app e definizioni di flusso.
+ `iam`: consente di passare i ruoli `AmazonSageMakerServiceCatalogProductsCodeBuildRole` e `AmazonSageMakerServiceCatalogProductsExecutionRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Questa politica viene utilizzata AWS CodeBuild all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)viene trasferito alle AWS risorse create CodeBuild che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker`— Consenti l'accesso a varie risorse SageMaker AI.
+ `codecommit`— Carica CodeCommit gli archivi CodeBuild nelle pipeline, visualizza lo stato del caricamento e annulla i caricamenti; ottieni informazioni sulle filiali e sui commit. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-".
+ `ecr`: consente di creare repository di Amazon ECR e immagini di container; consente di caricare livelli di immagini. Queste autorizzazioni sono limitate ai repository il cui nome inizia con "sagemaker-".
`ecr`: consente di leggere tutte le risorse.
+ `iam`: consente di passare i seguenti ruoli:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`a. AWS CloudFormation
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`a AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`a AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`ad Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`ad Amazon SageMaker AI.
+ `logs`— Crea e leggi gruppi di CloudWatch log, stream ed eventi; aggiorna gli eventi; descrivi varie risorse.
Queste autorizzazioni sono limitate alle risorse il cui prefisso inizia con "aws/codebuild/".
+ `s3`: consente di creare, leggere ed elencare i bucket Amazon S3. Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-".
+ `codeconnections`, `codestar-connections` — Uso AWS CodeConnections e connessioni. AWS CodeStar
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)nel AWS Managed Policy Reference.
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Questa politica viene utilizzata AWS CodePipeline all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)viene trasferito alle AWS risorse create CodePipeline che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `cloudformation`— Creare, leggere, eliminare e aggiornare gli CloudFormation stack; creare, leggere, eliminare ed eseguire set di modifiche; impostare la politica dello stack; etichettare e rimuovere i tag dalle risorse. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-".
+ `s3`: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.
Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-.
+ `iam`: consente di passare il ruolo `AmazonSageMakerServiceCatalogProductsCloudformationRole`.
+ `codebuild`— Ottieni informazioni sulla CodeBuild build e avvia le build. Queste autorizzazioni sono limitate alle risorse di progetto e compilazione il cui nome inizia con "sagemaker-".
+ `codecommit`— Carica CodeCommit gli archivi CodeBuild nelle pipeline, visualizza lo stato del caricamento e annulla i caricamenti; ottieni informazioni sulle filiali e sui commit.
+ `codeconnections`, `codestar-connections` — Utilizzo AWS CodeConnections e connessioni. AWS CodeStar
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)nel AWS Managed Policy Reference.
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsEventsServiceRole politica
Questa politica viene utilizzata da Amazon EventBridge all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che viene [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)trasferito alle AWS risorse da esso create EventBridge che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `codepipeline`— Avvia un' CodeBuild esecuzione. Queste autorizzazioni sono limitate alle pipeline il cui nome inizia con "sagemaker-".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole politica
Questa politica viene utilizzata da Amazon Data Firehose all'interno dei prodotti AWS Service Catalog forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da Firehose che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `firehose`: invia i record di Firehose. Queste autorizzazioni sono limitate alle risorse il cui nome del flusso di distribuzione inizia con "sagemaker-".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsGlueServiceRole politica
Questa politica viene utilizzata da AWS Glue all'interno dei prodotti forniti da AWS Service Catalog del portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da Glue che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `glue`— Crea, leggi ed elimina partizioni, tabelle e versioni di tabelle AWS Glue. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-". Crea e leggi i database AWS Glue. Queste autorizzazioni sono limitate ai database il cui nome è "default", "global\$1temp" o inizia con "sagemaker-". Consente di ottenere funzioni definite dall'utente.
+ `s3`: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.
Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-".
+ `logs`— Crea, leggi ed elimina i CloudWatch log, i gruppi di log, i flussi e le consegne e crea una politica delle risorse.
Queste autorizzazioni sono limitate alle risorse il cui prefisso inizia con "aws/glue/".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS politica gestita: politica AmazonSageMakerServiceCatalogProductsLambdaServiceRole
Questa politica viene utilizzata AWS Lambda all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da Lambda che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker`— Consenti l'accesso a varie risorse SageMaker AI.
+ `ecr`: consente di creare ed eliminare repository di Amazon ECR; consente di creare, leggere ed eliminare immagini di container e caricare livelli di immagini. Queste autorizzazioni sono limitate ai repository il cui nome inizia con "sagemaker-".
+ `events`— Crea, leggi ed elimina EventBridge regole Amazon; crea e rimuovi obiettivi. Queste autorizzazioni sono limitate alle regole il cui nome inizia con "sagemaker-".
+ `s3`: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.
Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-".
+ `iam`: consente di passare il ruolo `AmazonSageMakerServiceCatalogProductsExecutionRole`.
+ `logs`— Crea, leggi ed elimina CloudWatch Logs, gruppi di log, stream e consegne; e crea una politica delle risorse.
Queste autorizzazioni sono limitate alle risorse il cui prefisso del nome inizia con "aws/lambda/".
+ `codebuild`— Avvia e ottieni informazioni sulle build. AWS CodeBuild
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche AWS gestite di AWS Service Catalog
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): policy aggiornata | 10 | Aggiornamenti `codestar-connections:PassConnection` e `codeconnections:PassConnection` autorizzazioni. | 27 settembre 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): policy aggiornata | 3 | Aggiornamenti `codestar-connections:UseConnection` e `codeconnections:UseConnection` autorizzazioni. | 27 settembre 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): policy aggiornata | 3 | Aggiornamenti `codestar-connections:UseConnection` e `codeconnections:UseConnection` autorizzazioni. | 27 settembre 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): policy aggiornata | 9 | Aggiunte le autorizzazioni `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 1° luglio 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 7 | Esegui il rollback della policy alla versione 7 (v7). Rimuovi le autorizzazioni `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 12 giugno 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 8 | Aggiunte le autorizzazioni `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 11 giugno 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): policy aggiornata | 2 | Aggiunte le autorizzazioni `codestar-connections:UseConnection` e `codeconnections:UseConnection`. | 11 giugno 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): policy aggiornata | 2 | Aggiungi le autorizzazioni `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` e `codeconnections:UseConnection`. | 11 giugno 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy): policy aggiornata | 2 | Aggiunte le autorizzazioni `codebuild:StartBuild` e `codebuild:BatchGetBuilds`. | 11 giugno 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Policy iniziale | 1° agosto 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Policy iniziale | 1° agosto 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Policy iniziale | 1° agosto 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy): policy aggiornata | 2 | Aggiunta l'autorizzazione per `glue:GetUserDefinedFunctions` | 26 agosto 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 7 | Aggiunta l'autorizzazione per `sagemaker:AddTags` | 2 agosto 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 6 | Aggiunta l'autorizzazione per `lambda:TagResource` | 14 luglio 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolitica | 1 | Policy iniziale | 4 aprile 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Policy iniziale | 24 marzo 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Policy iniziale | 24 marzo 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Policy iniziale | 24 marzo 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 5 | Aggiunta l'autorizzazione per `ecr-idp:TagResource` | 21 marzo 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Policy iniziale | 22 febbraio 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Policy iniziale | 22 febbraio 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Policy iniziale | 22 febbraio 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolitica | 1 | Policy iniziale | 22 febbraio 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 4 | Aggiunte le autorizzazioni per `cognito-idp:TagResource` e `s3:PutBucketCORS`. | 16 febbraio 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 3 | Aggiunte nuove autorizzazioni per `sagemaker`. Crea, leggi, aggiorna ed elimina SageMaker immagini. | 15 settembre 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 2 | Aggiunte le autorizzazioni per `sagemaker` e `codestar-connections`. Consente di creare, leggere, aggiornare ed eliminare i repository di codice. Passa AWS CodeStar le connessioni a AWS CodePipeline. | 1° luglio 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Policy iniziale | 27 novembre 2020 |
## SageMaker Aggiornamenti AI alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per l' SageMaker intelligenza artificiale da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Aggiornamento a una policy esistente | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 dicembre 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Aggiornamento a una policy esistente | 26 | Aggiunta l'autorizzazione `sagemaker:AddTags`. | 29 marzo 2024 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 25 | Aggiunta delle autorizzazioni `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` e `s3express:ListAllMyDirectoryBuckets`. | 30 novembre 2023 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 24 | Aggiunte le autorizzazioni `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` e `sagemaker:ListSpaces`. | 30 novembre 2022 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 23 | Add `glue:UpdateTable`. | 29 giugno 2022 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 22 | Add `cloudformation:ListStackResources`. | 1 maggio 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) - Aggiornamento a una policy esistente | 11 | Aggiunte le autorizzazioni `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage` e `sagemaker:GetModelPackageGroupPolicy`. | 1° dicembre 2021 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 21 | Aggiunte le autorizzazioni `sns:Publish` per gli endpoint con l'inferenza asincrona abilitata. | 08 settembre 2021 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 20 | Aggiornamento di autorizzazioni e risorse `iam:PassRole`. | 15 luglio 2021 |
| AmazonSageMakerReadOnly - Aggiornamento a una politica esistente | 10 | Nuova API `BatchGetRecord` aggiunta per SageMaker AI Feature Store. | 10 giugno 2021 |
| | | SageMaker L'IA ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. | 1 giugno 2021 |