翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Amazon SageMaker AI の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。このタイプの更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数の サービスにまたがるジョブ関数の 管理ポリシー AWS をサポートしています。たとえば、 `ReadOnlyAccess` AWS マネージドポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
**重要**
ユースケースを実行できる、最も制限されたポリシーを使用することをお勧めします。
アカウントのユーザーにアタッチできる以下の AWS 管理ポリシーは、Amazon SageMaker AI に固有のものです。
+ **`AmazonSageMakerFullAccess`** - Amazon SageMaker AI と SageMaker AI 地理空間リソースおよびサポートされている操作にフルアクセスできます。これは Amazon S3 の無制限アクセスを提供していませんが、特定の `sagemaker` のタグ付きのバケット/オブジェクトをサポートしています。このポリシーでは、すべての IAM ロールを Amazon SageMaker AI に渡すことができますが、その中にAmazonSageMaker」を含む IAM ロールのみを AWS Glue、 AWS Step Functions、 AWS RoboMaker サービスに渡すことができます。
+ **`AmazonSageMakerReadOnly`** – Amazon SageMaker AI のリソースに読み取り専用アクセスを付与します。
以下の AWS 管理ポリシーは、アカウントのユーザーにアタッチできますが、お勧めしません。
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) – アカウントのすべての AWS サービスおよびリソースに対するすべてのアクションを許可します。
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist) – データサイエンティストが直面する大多数のユースケース (主に分析やビジネスインテリジェンス) に対応する、幅広いアクセス許可を付与します。
これらのアクセス許可ポリシーについては、IAM コンソールにサインインしてそれらを検索することで確認できます。
独自のカスタム IAM ポリシーを作成し、必要に応じて Amazon SageMaker AI のアクションとリソースのためのアクセスを許可することもできます。これらのカスタムポリシーは、それらを必要とする ユーザーにアタッチできます。
**Topics**
+ [AWS マネージドポリシー: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS マネージドポリシー: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS Amazon SageMaker Canvas の マネージドポリシー](security-iam-awsmanpol-canvas.md)
+ [AWS Amazon SageMaker Feature Store の マネージドポリシー](security-iam-awsmanpol-feature-store.md)
+ [AWS Amazon SageMaker 地理空間の マネージドポリシー](security-iam-awsmanpol-geospatial.md)
+ [AWS Amazon SageMaker Ground Truth の管理ポリシー](security-iam-awsmanpol-ground-truth.md)
+ [AWS Amazon SageMaker HyperPod の マネージドポリシー HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS SageMaker AI モデルガバナンスのマネージドポリシー](security-iam-awsmanpol-governance.md)
+ [AWS モデルレジストリの マネージドポリシー](security-iam-awsmanpol-model-registry.md)
+ [AWS SageMaker ノートブックの マネージドポリシー](security-iam-awsmanpol-notebooks.md)
+ [AWS Amazon SageMaker パートナー AI アプリの マネージドポリシー](security-iam-awsmanpol-partner-apps.md)
+ [AWS SageMaker Pipelines の管理ポリシー](security-iam-awsmanpol-pipelines.md)
+ [AWS SageMaker トレーニングプランの マネージドポリシー](security-iam-awsmanpol-training-plan.md)
+ [AWS SageMaker プロジェクトと JumpStart の管理ポリシー](security-iam-awsmanpol-sc.md)
+ [AWS マネージドポリシーに対する SageMaker AI の更新](#security-iam-awsmanpol-updates)
## AWS マネージドポリシー: AmazonSageMakerFullAccess
このポリシーにより、すべての Amazon SageMaker AI と SageMaker 地理空間のリソースとオペレーションへのフルアクセスをプリンシパルに許可する管理アクセス許可が付与されます。このポリシーは、関連サービスへの限定アクセスも提供します。このポリシーでは、すべての IAM ロールを Amazon SageMaker AI に渡すことができますが、その中にAmazonSageMaker」を含む IAM ロールのみを AWS Glue、 AWS Step Functions、 AWS RoboMaker サービスに渡すことができます。このポリシーには、Amazon SageMaker AI ドメインを作成するためのアクセス許可が含まれていません。ドメインの作成に必要なポリシーの詳細については、「[Amazon SageMaker AI の前提条件を満たす](gs-set-up.md)」を参照してください。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `application-autoscaling` - SageMaker AI のリアルタイム推論エンドポイントのオートスケーリングをプリンシパルに許可します。
+ `athena` – プリンシパルがデータカタログ、データベース、テーブルメタデータのリストをクエリできるようにします Amazon Athena。
+ `aws-marketplace` – プリンシパルに AWS AI Marketplace サブスクリプションの表示を許可します。 AWS Marketplaceでサブスクライブされている SageMaker AI ソフトウェアにアクセスする場合は、これが必要です。
+ `cloudformation` – プリンシパルが SageMaker AI JumpStart ソリューションとパイプラインを使用するための AWS CloudFormation テンプレートを取得できるようにします。SageMaker AI JumpStart では、SageMaker AI を他の AWS のサービスと結び付けるエンドツーエンドの機械学習ソリューションを実行するために必要なリソースが作成されます。SageMaker AI Pipelines では、Service Catalog にバックアップされた新しいプロジェクトが作成されます。
+ `cloudwatch` - CloudWatch メトリクスの投稿、アラームの操作、アカウントの CloudWatch Logs へのログのアップロードをプリンシパルに許可します。
+ `codebuild` – プリンシパルが SageMaker AI パイプラインとプロジェクトの AWS CodeBuild アーティファクトを保存できるようにします。
+ `codecommit` – SageMaker AI ノートブックインスタンスと AWS CodeCommit の統合に必要です。
+ `cognito-idp` - Amazon SageMaker Ground Truth で、プライベートワークフォースと作業チームを定義するために必要です。
+ `ec2` - SageMaker AI ジョブ、モデル、エンドポイント、ノートブックインスタンスに Amazon VPC を指定する際に、SageMaker AI が Amazon EC2 リソースとネットワークインターフェイスを管理するために必要です。
+ `ecr` - Amazon SageMaker Studio Classic (カスタムイメージ)、トレーニング、処理、バッチ推論、推論エンドポイントの Docker アーティファクトをプルして保存するために必要です。これは、SageMaker AI で独自のコンテナを使用する場合にも必要です。ユーザーに代わってカスタムイメージを作成および削除するには、SageMaker AI JumpStart ソリューションの追加のアクセス許可が必要です。
+ `elasticfilesystem` - Amazon Elastic File System へのアクセスをプリンシパルに許可します。これは、SageMaker AI が機械学習モデルのトレーニングに Amazon Elastic File System のデータソースを使用する場合に必要です。
+ `fsx` - Amazon FSx へのアクセスをプリンシパルに許可します。これは、SageMaker AI が機械学習モデルのトレーニングに Amazon FSx のデータソースを使用する場合に必要です。
+ `glue` - SageMaker AI ノートブックインスタンス内から推論パイプラインの前処理を行うために必要です。
+ `groundtruthlabeling` - Ground Truth のラベリングジョブに必要です。`groundtruthlabeling` エンドポイントは Ground Truth コンソールでアクセスします。
+ `iam` - 利用可能な IAM ロールへのアクセス権を SageMaker AI コンソールに付与し、サービスにリンクされたロールを作成するために必要です。
+ `kms` – SageMaker AI コンソールに使用可能な AWS KMS キーへのアクセスを許可し、ジョブとエンドポイントで指定された AWS KMS エイリアスに対してキーを取得する必要があります。
+ `lambda` - AWS Lambda 関数の呼び出しとリストの取得をプリンシパルに許可します。
+ `logs` - SageMaker AI のジョブとエンドポイントでログストリームを発行するために必要です。
+ `redshift` - Amazon Redshift クラスター認証情報へのアクセスをプリンシパルに許可します。
+ `redshift-data` - ステートメントの実行、説明、キャンセル、ステートメント結果の取得、スキーマとテーブルの一覧表示を実行するための Amazon Redshift のデータの使用をプリンシパルに許可します。
+ `robomaker` – プリンシパルが AWS RoboMaker シミュレーションアプリケーションとジョブを作成、説明の取得、削除するためのフルアクセスを許可します。これは、ノートブックインスタンスで強化学習のサンプルを実行する場合にも必要です。
+ `s3, s3express` - プリンシパルに、SageMaker AI に関連する Amazon S3 リソースと Amazon S3 Express リソースへのフルアクセスを許可します。ただし、Amazon S3 または Amazon S3 Express のすべてにアクセスできるわけではありません。
+ `sagemaker` — プリンシパルが SageMaker AI ユーザープロファイルのタグを一覧表示し、SageMaker AI アプリケーションとスペースにタグを追加することを許可します。sagemaker:WorkteamType 「private-crowd」または 「vendor-crowd」の SageMaker AI フロー定義にのみアクセスを許可します。トレーニングプラン機能にアクセスできるすべての AWS リージョンで、SageMaker AI トレーニングプランと SageMaker トレーニングジョブの予約容量、および SageMaker HyperPod クラスターの使用と説明を許可します。
+ `sagemaker` と `sagemaker-geospatial` – プリンシパルに SageMaker AI ドメインとユーザープロファイルへの読み取り専用アクセスを許可します。
+ `secretsmanager` - AWS Secrets Managerへのフルアクセス権の取得をプリンシパルに許可します。プリンシパルは、データベースやその他のサービスの認証情報を安全に暗号化、保存、取得できます。これは GitHub を使用する SageMaker AI コードリポジトリを持つ SageMaker AI ノートブックインスタンスにも必要です。
+ `servicecatalog` — プリンシパルは、Service Catalog を使用できます。プリンシパルは、 AWS リソースを使用してデプロイされたサーバー、データベース、ウェブサイト、アプリケーションなど、プロビジョニングされた製品を作成、リストの取得、更新、終了できます。これは、SageMaker AI JumpStart とプロジェクトがサービスカタログの製品を探して読み取り、ユーザーの AWS リソースを起動するために必要です。
+ `sns` - Amazon SNS トピックのリストの取得をプリンシパルに許可します。これは、非同期推論が有効になっているエンドポイントで、推論が完了したことをユーザーに通知するために必要です。
+ `states` - SageMaker AI JumpStart とパイプラインがサービスカタログを使用してステップ関数リソースを作成するために必要です。
+ `tag` - SageMaker AI Pipelines が Studio Classic レンダリングするために必要です。Studio Classic には特定の `sagemaker:project-id` tag-key でタグ付けされたリソースが必要です。これには、`tag:GetResources` アクセス許可が必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonSageMakerReadOnly
このポリシーは、 AWS マネジメントコンソール および SDK を通じて Amazon SageMaker AI への読み取り専用アクセスを許可します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `application-autoscaling` - スケーラブルな SageMaker AI のリアルタイム推論エンドポイントの説明の参照をユーザーに許可します。
+ `aws-marketplace` – ユーザーに AWS AI Marketplace サブスクリプションの表示を許可します。
+ `cloudwatch` - CloudWatch アラームの受信をユーザーに許可します。
+ `cognito-idp` - Amazon SageMaker Ground Truth で、プライベートワークフォースと作業チームの説明とリストを参照するために必要です。
+ `ecr` - トレーニングと推論用に Docker アーティファクトを読み取るために必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシーに対する SageMaker AI の更新
このサービスがこれらの変更の追跡を開始してからの SageMaker AI の AWS マネージドポリシーの更新に関する詳細を表示します。
| ポリシー | バージョン | 変更 | 日付 |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) – 既存ポリシーへの更新 | 27 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/security-iam-awsmanpol.html) | 2024/12/04 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) – 既存ポリシーへの更新 | 26 | `sagemaker:AddTags` アクセス許可を追加します。 | 2024 年 3 月 29 日 |
| AmazonSageMakerFullAccess - 既存ポリシーの更新 | 25 | `sagemaker:CreateApp`、`sagemaker:DescribeApp`、`sagemaker:DeleteApp`、`sagemaker:CreateSpace`、`sagemaker:UpdateSpace`、`sagemaker:DeleteSpace`、`s3express:CreateSession`、`s3express:CreateBucket`、`s3express:ListAllMyDirectoryBuckets` のアクセス許可を追加します。 | 2023 年 11 月 30 日 |
| AmazonSageMakerFullAccess - 既存ポリシーの更新 | 24 | `sagemaker-geospatial:*`、`sagemaker:AddTags`、`sagemaker-ListTags`、`sagemaker-DescribeSpace`、`sagemaker:ListSpaces` アクセス許可を追加します。 | 2022 年 11 月 30 日 |
| AmazonSageMakerFullAccess - 既存ポリシーの更新 | 23 | `glue:UpdateTable` を追加します。 | 2022 年 1 月 29 日 |
| AmazonSageMakerFullAccess - 既存ポリシーの更新 | 22 | `cloudformation:ListStackResources` を追加します。 | 2022 年 5 月 1 日 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) – 既存ポリシーへの更新 | 11 | `sagemaker:QueryLineage`、`sagemaker:GetLineageGroupPolicy`、`sagemaker:BatchDescribeModelPackage`、`sagemaker:GetModelPackageGroupPolicy` アクセス許可を追加します。 | 2021 年 12 月 1 日 |
| AmazonSageMakerFullAccess - 既存ポリシーの更新 | 21 | 非同期推論が有効になっているエンドポイントの `sns:Publish` アクセス許可を追加。 | 2021 年 9 月 8 日 |
| AmazonSageMakerFullAccess - 既存ポリシーの更新 | 20 | `iam:PassRole` リソースおよびアクセス許可を更新します。 | 2021 年 7 月 15 日 |
| AmazonSageMakerReadOnly - 既存ポリシーの更新 | 10 | SageMaker AI Feature Store に新しい API `BatchGetRecord` を追加しました。 | 2021 年 6 月 10 日 |
| | | SageMaker AI は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 6 月 1 日 |