AWSSageMaker ノートブックの マネージドポリシー - Amazon SageMaker AI
AmazonSageMakerNotebooksServiceRolePolicySageMaker Notebooks の更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSSageMaker ノートブックの マネージドポリシー

これらのAWS管理ポリシーは、SageMaker ノートブックを使用するために必要なアクセス許可を追加します。ポリシーはAWSアカウントで使用でき、SageMaker AI コンソールから作成された実行ロールによって使用されます。

AWSマネージドポリシー: AmazonSageMakerNotebooksServiceRolePolicy

このAWS管理ポリシーは、Amazon SageMaker Notebooks を使用するのに一般的に必要なアクセス許可を付与します。このポリシーは、Amazon SageMaker Studio Classic にオンボードする際に作成される AWSServiceRoleForAmazonSageMakerNotebooks に追加されます。サービスにリンクしたロールの詳細については、「サービスリンクロール」を参照してください。詳細については、「AmazonSageMakerNotebooksServiceRolePolicy」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • elasticfilesystem — Amazon Elastic File System (EFS) ファイルシステム、アクセスポイント、マウントターゲットの作成や削除をプリンシパルに許可します。これらは ManagedByAmazonSageMakerResource キーでタグ付けされたものに限られます。すべての EFS ファイルシステム、アクセスポイント、マウントターゲットを記述することをプリンシパルに許可します。EFS アクセスポイントとマウントターゲットのタグを作成または上書きすることをプリンシパルに許可します。

  • ec2 — Amazon Elastic Compute Cloud (EC2) インスタンスのネットワークインターフェイスとセキュリティグループを作成することをプリンシパルに許可します。また、これらのリソースのタグを作成したり上書きしたりすることもプリンシパルに許可します。

  • sso — マネージドアプリケーションインスタンスの AWS IAM アイデンティティセンター に対する追加や削除をプリンシパルに許可します。

  • sagemaker – プリンシパルが SageMaker AI ユーザープロファイルと SageMaker AI スペースを作成して読み取り、SageMaker AI スペースと SageMaker AI アプリケーションを削除することを許可します。

  • fsx – プリンシパルが Amazon FSx for Lustre ファイルシステムを記述し、メタデータを使用してノートブックにマウントできるようにします。

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {   
            "Sid": "AllowFSxDescribe",
            "Effect": "Allow",
            "Action": [
                "fsx:DescribeFileSystems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker AI での SageMaker AI Notebooks マネージドポリシーの更新

このサービスがこれらの変更の追跡を開始してからの Amazon SageMaker AI の AWSマネージドポリシーの更新に関する詳細を表示します。

ポリシー バージョン 変更 Date

AmazonSageMakerNotebooksServiceRolePolicy – 既存ポリシーへの更新

10

fsx:DescribeFileSystems アクセス許可を追加します。

 2024 年 11 月 14 日

AmazonSageMakerNotebooksServiceRolePolicy – 既存ポリシーへの更新

9

sagemaker:DeleteApp アクセス許可を追加します。

 2024 年 7 月 24 日

AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新

8

sagemaker:CreateSpacesagemaker:DescribeSpacesagemaker:DeleteSpacesagemaker:ListTagssagemaker:AddTags アクセス許可を追加します。

 2024 年 5 月 22 日

AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新

7

elasticfilesystem:TagResource アクセス許可を追加します。

 2023 年 3 月 9 日

AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新

6

elasticfilesystem:CreateAccessPointelasticfilesystem:DeleteAccessPoint、および elasticfilesystem:DescribeAccessPoints アクセス許可を追加します。

 2023 年 1 月 12 日

SageMaker AI はAWS、管理ポリシーの変更の追跡を開始しました。

 2021 年 6 月 1 日