AWSAmazon SageMaker AI の マネージドポリシー - Amazon SageMaker AI
AmazonSageMakerFullAccessAmazonSageMakerReadOnlyAmazon SageMaker AI ポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSAmazon SageMaker AI の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりもAWS管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWSマネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWSアカウントで利用できます。AWS管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS管理ポリシー」を参照してください。

AWSサービスは、 AWS管理ポリシーを維持および更新します。AWS管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。このタイプの更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWSマネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、 は、複数の サービスにまたがるジョブ関数の マネージドポリシーAWSをサポートしています。たとえば、 ReadOnlyAccessAWSマネージドポリシーは、すべての AWSサービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可AWSを追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

重要

ユースケースを実行できる、最も制限されたポリシーを使用することをお勧めします。

アカウントのユーザーにアタッチできる以下のAWS管理ポリシーは、Amazon SageMaker AI に固有のものです。

  • AmazonSageMakerFullAccess - Amazon SageMaker AI と SageMaker AI 地理空間リソースおよびサポートされている操作にフルアクセスできます。これは Amazon S3 の無制限アクセスを提供していませんが、特定の sagemaker のタグ付きのバケット/オブジェクトをサポートしています。このポリシーでは、すべての IAM ロールを Amazon SageMaker AI に渡すことができますが、その中にAmazonSageMaker」を含む IAM ロールのみを AWS Glue、AWS Step Functions、AWSRoboMaker サービスに渡すことができます。

  • AmazonSageMakerReadOnly – Amazon SageMaker AI のリソースに読み取り専用アクセスを付与します。

以下のAWS管理ポリシーは、アカウントのユーザーにアタッチできますが、お勧めしません。

  • AdministratorAccess – アカウントのすべての AWS サービスおよびリソースに対するすべてのアクションを許可します。

  • DataScientist – データサイエンティストが直面する大多数のユースケース (主に分析やビジネスインテリジェンス) に対応する、幅広いアクセス許可を付与します。

これらのアクセス許可ポリシーについては、IAM コンソールにサインインしてそれらを検索することで確認できます。

独自のカスタム IAM ポリシーを作成し、必要に応じて Amazon SageMaker AI のアクションとリソースのためのアクセスを許可することもできます。これらのカスタムポリシーは、それらを必要とする ユーザーにアタッチできます。

トピック

AWSマネージドポリシー: AmazonSageMakerFullAccess

このポリシーにより、すべての Amazon SageMaker AI と SageMaker 地理空間のリソースとオペレーションへのフルアクセスをプリンシパルに許可する管理アクセス許可が付与されます。このポリシーは、関連サービスへの限定アクセスも提供します。このポリシーでは、すべての IAM ロールを Amazon SageMaker AI に渡すことができますが、その中にAmazonSageMaker」を含む IAM ロールのみを AWS GlueAWS Step Functions、、AWSRoboMaker サービスに渡すことができます。このポリシーには、Amazon SageMaker AI ドメインを作成するためのアクセス許可が含まれていません。ドメインの作成に必要なポリシーの詳細については、「Amazon SageMaker AI の前提条件を満たす」を参照してください。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • application-autoscaling - SageMaker AI のリアルタイム推論エンドポイントのオートスケーリングをプリンシパルに許可します。

  • athena – プリンシパルがデータカタログ、データベース、テーブルメタデータのリストをクエリできるようにしますAmazon Athena。

  • aws-marketplace – プリンシパルに AWSAI Marketplace サブスクリプションの表示を許可します。AWS Marketplace でサブスクライブされている SageMaker AI ソフトウェアにアクセスする場合は、これが必要です。

  • cloudformation – プリンシパルが SageMaker AI JumpStart ソリューションとパイプラインを使用するためのAWS CloudFormationテンプレートを取得できるようにします。SageMaker AI JumpStart では、SageMaker AI を他の AWS のサービスと結び付けるエンドツーエンドの機械学習ソリューションを実行するために必要なリソースが作成されます。SageMaker AI Pipelines では、Service Catalog にバックアップされた新しいプロジェクトが作成されます。

  • cloudwatch - CloudWatch メトリクスの投稿、アラームの操作、アカウントの CloudWatch Logs へのログのアップロードをプリンシパルに許可します。

  • codebuild – プリンシパルが SageMaker AI パイプラインとプロジェクトのAWS CodeBuildアーティファクトを保存できるようにします。

  • codecommit – SageMaker AI ノートブックインスタンスとAWS CodeCommitの統合に必要です。

  • cognito-idp - Amazon SageMaker Ground Truth で、プライベートワークフォースと作業チームを定義するために必要です。

  • ec2 - SageMaker AI ジョブ、モデル、エンドポイント、ノートブックインスタンスに Amazon VPC を指定する際に、SageMaker AI が Amazon EC2 リソースとネットワークインターフェイスを管理するために必要です。

  • ecr - Amazon SageMaker Studio Classic (カスタムイメージ)、トレーニング、処理、バッチ推論、推論エンドポイントの Docker アーティファクトをプルして保存するために必要です。これは、SageMaker AI で独自のコンテナを使用する場合にも必要です。ユーザーに代わってカスタムイメージを作成および削除するには、SageMaker AI JumpStart ソリューションの追加のアクセス許可が必要です。

  • elasticfilesystem - Amazon Elastic File System へのアクセスをプリンシパルに許可します。これは、SageMaker AI が機械学習モデルのトレーニングに Amazon Elastic File System のデータソースを使用する場合に必要です。

  • fsx - Amazon FSx へのアクセスをプリンシパルに許可します。これは、SageMaker AI が機械学習モデルのトレーニングに Amazon FSx のデータソースを使用する場合に必要です。

  • glue - SageMaker AI ノートブックインスタンス内から推論パイプラインの前処理を行うために必要です。

  • groundtruthlabeling - Ground Truth のラベリングジョブに必要です。groundtruthlabeling エンドポイントは Ground Truth コンソールでアクセスします。

  • iam - 利用可能な IAM ロールへのアクセス権を SageMaker AI コンソールに付与し、サービスにリンクされたロールを作成するために必要です。

  • kms – SageMaker AI コンソールに使用可能なAWS KMSキーへのアクセスを許可し、ジョブとエンドポイントで指定されたAWS KMSエイリアスに対してキーを取得する必要があります。

  • lambda - AWS Lambda 関数の呼び出しとリストの取得をプリンシパルに許可します。

  • logs - SageMaker AI のジョブとエンドポイントでログストリームを発行するために必要です。

  • redshift - Amazon Redshift クラスター認証情報へのアクセスをプリンシパルに許可します。

  • redshift-data - ステートメントの実行、説明、キャンセル、ステートメント結果の取得、スキーマとテーブルの一覧表示を実行するための Amazon Redshift のデータの使用をプリンシパルに許可します。

  • robomaker – プリンシパルがAWSRoboMaker シミュレーションアプリケーションとジョブを作成、説明の取得、削除するためのフルアクセスを許可します。これは、ノートブックインスタンスで強化学習のサンプルを実行する場合にも必要です。

  • s3, s3express - プリンシパルに、SageMaker AI に関連する Amazon S3 リソースと Amazon S3 Express リソースへのフルアクセスを許可します。ただし、Amazon S3 または Amazon S3 Express のすべてにアクセスできるわけではありません。

  • sagemaker — プリンシパルが SageMaker AI ユーザープロファイルのタグを一覧表示し、SageMaker AI アプリケーションとスペースにタグを追加することを許可します。sagemaker:WorkteamType 「private-crowd」または 「vendor-crowd」の SageMaker AI フロー定義にのみアクセスを許可します。トレーニングプラン機能にアクセスできるすべてのAWSリージョンで、SageMaker AI トレーニングプランと SageMaker トレーニングジョブの予約容量、および SageMaker HyperPod クラスターの使用と説明を許可します。

  • sagemakersagemaker-geospatial – プリンシパルに SageMaker AI ドメインとユーザープロファイルへの読み取り専用アクセスを許可します。

  • secretsmanager - AWS Secrets Manager へのフルアクセス権の取得をプリンシパルに許可します。プリンシパルは、データベースやその他のサービスの認証情報を安全に暗号化、保存、取得できます。これは GitHub を使用する SageMaker AI コードリポジトリを持つ SageMaker AI ノートブックインスタンスにも必要です。

  • servicecatalog — プリンシパルは、Service Catalog を使用できます。プリンシパルは、 AWSリソースを使用してデプロイされたサーバー、データベース、ウェブサイト、アプリケーションなど、プロビジョニングされた製品を作成、リストの取得、更新、終了できます。これは、SageMaker AI JumpStart とプロジェクトがサービスカタログの製品を探して読み取り、ユーザーの AWS リソースを起動するために必要です。

  • sns - Amazon SNS トピックのリストの取得をプリンシパルに許可します。これは、非同期推論が有効になっているエンドポイントで、推論が完了したことをユーザーに通知するために必要です。

  • states - SageMaker AI JumpStart とパイプラインがサービスカタログを使用してステップ関数リソースを作成するために必要です。

  • tag - SageMaker AI Pipelines が Studio Classic レンダリングするために必要です。Studio Classic には特定の sagemaker:project-id tag-key でタグ付けされたリソースが必要です。これには、tag:GetResources アクセス許可が必要です。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAllNonAdminSageMakerActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:*",
        "sagemaker-geospatial:*"
      ],
      "NotResource": [
        "arn:aws:sagemaker:*:*:domain/*",
        "arn:aws:sagemaker:*:*:user-profile/*",
        "arn:aws:sagemaker:*:*:app/*",
        "arn:aws:sagemaker:*:*:space/*",
        "arn:aws:sagemaker:*:*:partner-app/*",
        "arn:aws:sagemaker:*:*:flow-definition/*",
        "arn:aws:sagemaker:*:*:training-plan/*",
        "arn:aws:sagemaker:*:*:reserved-capacity/*"
      ]
    },
    {
      "Sid": "AllowAddTagsForSpace",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:space/*"
      ],
      "Condition": {
        "StringEquals": {
          "sagemaker:TaggingAction": "CreateSpace"
        }
      }
    },
    {
      "Sid": "AllowAddTagsForApp",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:app/*"
      ]
    },
    {
      "Sid": "AllowUseOfTrainingPlanResources",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateTrainingJob",
        "sagemaker:CreateCluster",
        "sagemaker:UpdateCluster",
        "sagemaker:DescribeTrainingPlan"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:training-plan/*",
        "arn:aws:sagemaker:*:*:reserved-capacity/*"
      ]
    },
    {
      "Sid": "AllowStudioActions",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:DescribeDomain",
        "sagemaker:ListDomains",
        "sagemaker:DescribeUserProfile",
        "sagemaker:ListUserProfiles",
        "sagemaker:DescribeSpace",
        "sagemaker:ListSpaces",
        "sagemaker:DescribeApp",
        "sagemaker:ListApps"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowAppActionsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "AllowAppActionsForSharedSpaces",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "Null": {
          "sagemaker:OwnerUserProfileArn": "true"
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateSpace",
        "sagemaker:UpdateSpace",
        "sagemaker:DeleteSpace"
      ],
      "Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private",
            "Shared"
          ]
        }
      }
    },
    {
      "Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:CreateApp",
        "sagemaker:DeleteApp"
      ],
      "Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
      "Condition": {
        "ArnLike": {
          "sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
        },
        "StringEquals": {
          "sagemaker:SpaceSharingType": [
            "Private"
          ]
        }
      }
    },
    {
      "Sid": "AllowFlowDefinitionActions",
      "Effect": "Allow",
      "Action": "sagemaker:*",
      "Resource": [
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ],
      "Condition": {
        "StringEqualsIfExists": {
          "sagemaker:WorkteamType": [
            "private-crowd",
            "vendor-crowd"
          ]
        }
      }
    },
    {
      "Sid": "AllowAWSServiceActions",
      "Effect": "Allow",
      "Action": [
        "application-autoscaling:DeleteScalingPolicy",
        "application-autoscaling:DeleteScheduledAction",
        "application-autoscaling:DeregisterScalableTarget",
        "application-autoscaling:DescribeScalableTargets",
        "application-autoscaling:DescribeScalingActivities",
        "application-autoscaling:DescribeScalingPolicies",
        "application-autoscaling:DescribeScheduledActions",
        "application-autoscaling:PutScalingPolicy",
        "application-autoscaling:PutScheduledAction",
        "application-autoscaling:RegisterScalableTarget",
        "aws-marketplace:ViewSubscriptions",
        "cloudformation:GetTemplateSummary",
        "cloudwatch:DeleteAlarms",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:PutMetricData",
        "codecommit:BatchGetRepositories",
        "codecommit:CreateRepository",
        "codecommit:GetRepository",
        "codecommit:List*",
        "cognito-idp:AdminAddUserToGroup",
        "cognito-idp:AdminCreateUser",
        "cognito-idp:AdminDeleteUser",
        "cognito-idp:AdminDisableUser",
        "cognito-idp:AdminEnableUser",
        "cognito-idp:AdminRemoveUserFromGroup",
        "cognito-idp:CreateGroup",
        "cognito-idp:CreateUserPool",
        "cognito-idp:CreateUserPoolClient",
        "cognito-idp:CreateUserPoolDomain",
        "cognito-idp:DescribeUserPool",
        "cognito-idp:DescribeUserPoolClient",
        "cognito-idp:List*",
        "cognito-idp:UpdateUserPool",
        "cognito-idp:UpdateUserPoolClient",
        "ec2:CreateNetworkInterface",
        "ec2:CreateNetworkInterfacePermission",
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteNetworkInterface",
        "ec2:DeleteNetworkInterfacePermission",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage",
        "ecr:CreateRepository",
        "ecr:Describe*",
        "ecr:GetAuthorizationToken",
        "ecr:GetDownloadUrlForLayer",
        "ecr:StartImageScan",
        "elasticfilesystem:DescribeFileSystems",
        "elasticfilesystem:DescribeMountTargets",
        "fsx:DescribeFileSystems",
        "glue:CreateJob",
        "glue:DeleteJob",
        "glue:GetJob*",
        "glue:GetTable*",
        "glue:GetWorkflowRun",
        "glue:ResetJobBookmark",
        "glue:StartJobRun",
        "glue:StartWorkflowRun",
        "glue:UpdateJob",
        "groundtruthlabeling:*",
        "iam:ListRoles",
        "kms:DescribeKey",
        "kms:ListAliases",
        "lambda:ListFunctions",
        "logs:CreateLogDelivery",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DeleteLogDelivery",
        "logs:Describe*",
        "logs:GetLogDelivery",
        "logs:GetLogEvents",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:PutResourcePolicy",
        "logs:UpdateLogDelivery",
        "robomaker:CreateSimulationApplication",
        "robomaker:DescribeSimulationApplication",
        "robomaker:DeleteSimulationApplication",
        "robomaker:CreateSimulationJob",
        "robomaker:DescribeSimulationJob",
        "robomaker:CancelSimulationJob",
        "secretsmanager:ListSecrets",
        "servicecatalog:Describe*",
        "servicecatalog:List*",
        "servicecatalog:ScanProvisionedProducts",
        "servicecatalog:SearchProducts",
        "servicecatalog:SearchProvisionedProducts",
        "sns:ListTopics",
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowECRActions",
      "Effect": "Allow",
      "Action": [
        "ecr:SetRepositoryPolicy",
        "ecr:CompleteLayerUpload",
        "ecr:BatchDeleteImage",
        "ecr:UploadLayerPart",
        "ecr:DeleteRepositoryPolicy",
        "ecr:InitiateLayerUpload",
        "ecr:DeleteRepository",
        "ecr:PutImage"
      ],
      "Resource": [
        "arn:aws:ecr:*:*:repository/*sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeCommitActions",
      "Effect": "Allow",
      "Action": [
        "codecommit:GitPull",
        "codecommit:GitPush"
      ],
      "Resource": [
        "arn:aws:codecommit:*:*:*sagemaker*",
        "arn:aws:codecommit:*:*:*SageMaker*",
        "arn:aws:codecommit:*:*:*Sagemaker*"
      ]
    },
    {
      "Sid": "AllowCodeBuildActions",
      "Action": [
        "codebuild:BatchGetBuilds",
        "codebuild:StartBuild"
      ],
      "Resource": [
        "arn:aws:codebuild:*:*:project/sagemaker*",
        "arn:aws:codebuild:*:*:build/*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowStepFunctionsActions",
      "Action": [
        "states:DescribeExecution",
        "states:GetExecutionHistory",
        "states:StartExecution",
        "states:StopExecution",
        "states:UpdateStateMachine"
      ],
      "Resource": [
        "arn:aws:states:*:*:statemachine:*sagemaker*",
        "arn:aws:states:*:*:execution:*sagemaker*:*"
      ],
      "Effect": "Allow"
    },
    {
      "Sid": "AllowSecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:CreateSecret"
      ],
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
      ]
    },
    {
      "Sid": "AllowReadOnlySecretManagerActions",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "secretsmanager:ResourceTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowServiceCatalogProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:ProvisionProduct"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
      "Effect": "Allow",
      "Action": [
        "servicecatalog:TerminateProvisionedProduct",
        "servicecatalog:UpdateProvisionedProduct"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "servicecatalog:userLevel": "self"
        }
      }
    },
    {
      "Sid": "AllowS3ObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*",
        "arn:aws:s3:::*aws-glue*"
      ]
    },
    {
      "Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEqualsIgnoreCase": {
          "s3:ExistingObjectTag/SageMaker": "true"
        }
      }
    },
    {
      "Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
        }
      }
    },
    {
      "Sid": "AllowS3BucketActions",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:GetBucketLocation",
        "s3:ListBucket",
        "s3:ListAllMyBuckets",
        "s3:GetBucketCors",
        "s3:PutBucketCors"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowS3BucketACL",
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:PutObjectAcl"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AllowLambdaInvokeFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:InvokeFunction"
      ],
      "Resource": [
        "arn:aws:lambda:*:*:function:*SageMaker*",
        "arn:aws:lambda:*:*:function:*sagemaker*",
        "arn:aws:lambda:*:*:function:*Sagemaker*",
        "arn:aws:lambda:*:*:function:*LabelingFunction*"
      ]
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
      "Action": "iam:CreateServiceLinkedRole",
      "Effect": "Allow",
      "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowCreateServiceLinkedRoleForRobomaker",
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "robomaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowSNSActions",
      "Effect": "Allow",
      "Action": [
        "sns:Subscribe",
        "sns:CreateTopic",
        "sns:Publish"
      ],
      "Resource": [
        "arn:aws:sns:*:*:*SageMaker*",
        "arn:aws:sns:*:*:*Sagemaker*",
        "arn:aws:sns:*:*:*sagemaker*"
      ]
    },
    {
      "Sid": "AllowPassRoleForSageMakerRoles",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": [
            "glue.amazonaws.com",
            "robomaker.amazonaws.com",
            "states.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AllowPassRoleToSageMaker",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AllowAthenaActions",
      "Effect": "Allow",
      "Action": [
        "athena:ListDataCatalogs",
        "athena:ListDatabases",
        "athena:ListTableMetadata",
        "athena:GetQueryExecution",
        "athena:GetQueryResults",
        "athena:StartQueryExecution",
        "athena:StopQueryExecution"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowGlueCreateTable",
      "Effect": "Allow",
      "Action": [
        "glue:CreateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueUpdateTable",
      "Effect": "Allow",
      "Action": [
        "glue:UpdateTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/sagemaker_featurestore/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore"
      ]
    },
    {
      "Sid": "AllowGlueDeleteTable",
      "Effect": "Allow",
      "Action": [
        "glue:DeleteTable"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetTablesAndDatabases",
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabases",
        "glue:GetTable",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/*",
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/*"
      ]
    },
    {
      "Sid": "AllowGlueGetAndCreateDatabase",
      "Effect": "Allow",
      "Action": [
        "glue:CreateDatabase",
        "glue:GetDatabase"
      ],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/sagemaker_featurestore",
        "arn:aws:glue:*:*:database/sagemaker_processing",
        "arn:aws:glue:*:*:database/default",
        "arn:aws:glue:*:*:database/sagemaker_data_wrangler"
      ]
    },
    {
      "Sid": "AllowRedshiftDataActions",
      "Effect": "Allow",
      "Action": [
        "redshift-data:ExecuteStatement",
        "redshift-data:DescribeStatement",
        "redshift-data:CancelStatement",
        "redshift-data:GetStatementResult",
        "redshift-data:ListSchemas",
        "redshift-data:ListTables"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowRedshiftGetClusterCredentials",
      "Effect": "Allow",
      "Action": [
        "redshift:GetClusterCredentials"
      ],
      "Resource": [
        "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
        "arn:aws:redshift:*:*:dbname:*"
      ]
    },
    {
      "Sid": "AllowListTagsForUserProfile",
      "Effect": "Allow",
      "Action": [
        "sagemaker:ListTags"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:user-profile/*"
      ]
    },
    {
      "Sid": "AllowCloudformationListStackResources",
      "Effect": "Allow",
      "Action": [
        "cloudformation:ListStackResources"
      ],
      "Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
    },
    {
      "Sid": "AllowS3ExpressObjectActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateSession"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*",
        "arn:aws:s3express:*:*:bucket/*aws-glue*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressCreateBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket"
      ],
      "Resource": [
        "arn:aws:s3express:*:*:bucket/*SageMaker*",
        "arn:aws:s3express:*:*:bucket/*Sagemaker*",
        "arn:aws:s3express:*:*:bucket/*sagemaker*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Sid": "AllowS3ExpressListBucketActions",
      "Effect": "Allow",
      "Action": [
        "s3express:ListAllMyDirectoryBuckets"
      ],
      "Resource": "*"
    }
  ]
}
表示を増やす表示を減らす

AWSマネージドポリシー: AmazonSageMakerReadOnly

このポリシーは、 AWS マネジメントコンソールおよび SDK を通じて Amazon SageMaker AI への読み取り専用アクセスを許可します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • application-autoscaling - スケーラブルな SageMaker AI のリアルタイム推論エンドポイントの説明の参照をユーザーに許可します。

  • aws-marketplace – ユーザーに AWSAI Marketplace サブスクリプションの表示を許可します。

  • cloudwatch - CloudWatch アラームの受信をユーザーに許可します。

  • cognito-idp - Amazon SageMaker Ground Truth で、プライベートワークフォースと作業チームの説明とリストを参照するために必要です。

  • ecr - トレーニングと推論用に Docker アーティファクトを読み取るために必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:Describe*",
                "sagemaker:List*",
                "sagemaker:BatchGetMetrics",
                "sagemaker:GetDeviceRegistration",
                "sagemaker:GetDeviceFleetReport",
                "sagemaker:GetSearchSuggestions",
                "sagemaker:BatchGetRecord",
                "sagemaker:GetRecord",
                "sagemaker:Search",
                "sagemaker:QueryLineage",
                "sagemaker:GetLineageGroupPolicy",
                "sagemaker:BatchDescribeModelPackage",
                "sagemaker:GetModelPackageGroupPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "aws-marketplace:ViewSubscriptions",
                "cloudwatch:DescribeAlarms",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "ecr:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

AWS管理ポリシーに対する SageMaker AI の更新

このサービスがこれらの変更の追跡を開始してからの SageMaker AI の AWSマネージドポリシーの更新に関する詳細を表示します。

ポリシー バージョン 変更 Date

AmazonSageMakerFullAccess – 既存ポリシーへの更新

 27

  • 次のアクションを使用してステートメント ID AllowUseOfTrainingPlanResources を追加します: sagemaker:CreateTrainingJobsagemaker:CreateClustersagemaker:UpdateClustersagemaker:DescribeTrainingPlan

  • AllowAllNonAdminSageMakerActions ポリシーステートメントの除外されたリソースに、パートナーアプリケーション、トレーニングプラン、リザーブドキャパシティを追加します。

2024/12/04

AmazonSageMakerFullAccess – 既存ポリシーへの更新

 26

sagemaker:AddTags アクセス許可を追加します。

2024 年 3 月 29 日

AmazonSageMakerFullAccess - 既存ポリシーの更新

 25

sagemaker:CreateAppsagemaker:DescribeAppsagemaker:DeleteAppsagemaker:CreateSpacesagemaker:UpdateSpacesagemaker:DeleteSpaces3express:CreateSessions3express:CreateBuckets3express:ListAllMyDirectoryBuckets のアクセス許可を追加します。

2023 年 11 月 30 日

AmazonSageMakerFullAccess - 既存ポリシーの更新

 24

sagemaker-geospatial:*sagemaker:AddTagssagemaker-ListTagssagemaker-DescribeSpacesagemaker:ListSpaces アクセス許可を追加します。

2022 年 11 月 30 日

AmazonSageMakerFullAccess - 既存ポリシーの更新

 23

glue:UpdateTable を追加します。

2022 年 1 月 29 日

AmazonSageMakerFullAccess - 既存ポリシーの更新

 22

cloudformation:ListStackResources を追加します。

2022 年 5 月 1 日

AmazonSageMakerReadOnly – 既存ポリシーへの更新

 11

sagemaker:QueryLineagesagemaker:GetLineageGroupPolicysagemaker:BatchDescribeModelPackagesagemaker:GetModelPackageGroupPolicy アクセス許可を追加します。

2021 年 12 月 1 日

AmazonSageMakerFullAccess - 既存ポリシーの更新

 21

非同期推論が有効になっているエンドポイントの sns:Publish アクセス許可を追加。

2021 年 9 月 8 日

AmazonSageMakerFullAccess - 既存ポリシーの更新

 20

iam:PassRole リソースおよびアクセス許可を更新します。

2021 年 7 月 15 日

AmazonSageMakerReadOnly - 既存ポリシーの更新

 10

SageMaker AI Feature Store に新しい API BatchGetRecord を追加しました。

 2021 年 6 月 10 日

SageMaker AI はAWS、管理ポリシーの変更の追跡を開始しました。

 2021 年 6 月 1 日