As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS políticas gerenciadas para Amazon SageMaker AI
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer compatibilidade com novos atributos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo atributo for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ReadOnlyAccess` AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
**Importante**
Recomendamos que você use a política mais restrita que permita executar seu caso de uso.
As seguintes políticas AWS gerenciadas, que você pode anexar aos usuários em sua conta, são específicas da Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Concede acesso total aos recursos geoespaciais de SageMaker SageMaker IA e IA da Amazon e às operações suportadas. Isso não fornece acesso irrestrito ao Amazon S3, mas é compatível com os buckets e objetos com tags `sagemaker` específicas. Essa política permite que todas as funções do IAM sejam passadas para a Amazon SageMaker AI, mas só permite que as funções do IAM com AmazonSageMaker "" sejam passadas para os AWS RoboMaker serviços AWS Glue AWS Step Functions, e.
+ **`AmazonSageMakerReadOnly`**— Concede acesso somente para leitura aos recursos de SageMaker IA da Amazon.
As seguintes políticas AWS gerenciadas podem ser anexadas aos usuários da sua conta, mas não são recomendadas:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator): concede todas as ações para todos os serviços da AWS e para todos os recursos na conta.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist): concede uma grande variedade de permissões para cobrir a maioria dos casos de uso (principalmente analytics e inteligência de negócios) encontrados pelos cientistas de dados.
Você pode revisar essas políticas de permissões fazendo login no console do IAM e procurando por elas.
Você também pode criar suas próprias políticas personalizadas do IAM para permitir permissões para ações e recursos de SageMaker IA da Amazon conforme necessário. É possível anexar essas políticas personalizadas aos usuários ou grupos que necessitam delas.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerFullAccess
](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [
## AWS política gerenciada: AmazonSageMakerReadOnly
](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [
# AWS políticas gerenciadas para o Amazon SageMaker Canvas
](security-iam-awsmanpol-canvas.md)
+ [
# AWS políticas gerenciadas para a Amazon SageMaker Feature Store
](security-iam-awsmanpol-feature-store.md)
+ [
# AWS políticas gerenciadas para o setor SageMaker geoespacial da Amazon
](security-iam-awsmanpol-geospatial.md)
+ [
# AWS Políticas gerenciadas para o Amazon SageMaker Ground Truth
](security-iam-awsmanpol-ground-truth.md)
+ [
# AWS políticas gerenciadas para a Amazon SageMaker HyperPod
](security-iam-awsmanpol-hyperpod.md)
+ [
# AWS Políticas gerenciadas para governança do modelo de SageMaker IA
](security-iam-awsmanpol-governance.md)
+ [
# AWS Políticas gerenciadas para registro de modelos
](security-iam-awsmanpol-model-registry.md)
+ [
# AWS Políticas gerenciadas para SageMaker notebooks
](security-iam-awsmanpol-notebooks.md)
+ [
# AWS políticas gerenciadas para Amazon SageMaker Partner AI Apps
](security-iam-awsmanpol-partner-apps.md)
+ [
# AWS Políticas gerenciadas para SageMaker oleodutos
](security-iam-awsmanpol-pipelines.md)
+ [
# AWS políticas gerenciadas para planos SageMaker de treinamento
](security-iam-awsmanpol-training-plan.md)
+ [
# AWS Políticas gerenciadas para SageMaker projetos e JumpStart
](security-iam-awsmanpol-sc.md)
+ [
## SageMaker Atualizações de IA para políticas AWS gerenciadas
](#security-iam-awsmanpol-updates)
## AWS política gerenciada: AmazonSageMakerFullAccess
Essa política concede permissões administrativas que permitem ao principal acesso total a todos os recursos e operações geoespaciais de SageMaker IA e IA da Amazon SageMaker . A política também fornece acesso seleto aos serviços relacionados. Essa política permite que todas as funções do IAM sejam passadas para a Amazon SageMaker AI, mas só permite que as funções do IAM com AmazonSageMaker "" sejam passadas para os AWS RoboMaker serviços AWS Glue AWS Step Functions, e. Essa política não inclui permissões para criar um domínio Amazon SageMaker AI. Para obter informações sobre a política necessária para criar um domínio, consulte [Pré-requisitos completos do Amazon SageMaker AI](gs-set-up.md).
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `application-autoscaling`— Permite que os diretores escalem automaticamente um endpoint de inferência de SageMaker IA em tempo real.
+ `athena`— Permite que os diretores consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas a partir de. Amazon Athena
+ `aws-marketplace`— Permite que os diretores visualizem as assinaturas do AWS AI Marketplace. Você precisa disso se quiser acessar o software de SageMaker IA inscrito. AWS Marketplace
+ `cloudformation`— Permite que os diretores obtenham AWS CloudFormation modelos para usar JumpStart soluções de SageMaker IA e pipelines. SageMaker JumpStart A IA cria os recursos necessários para executar soluções end-to-end de aprendizado de máquina que vinculam a SageMaker IA a outros AWS serviços. SageMaker O AI Pipelines cria novos projetos que são apoiados pelo Service Catalog.
+ `cloudwatch`— Permite que os diretores publiquem CloudWatch métricas, interajam com alarmes e enviem registros para o CloudWatch Logs em sua conta.
+ `codebuild`— Permite que os diretores armazenem AWS CodeBuild artefatos para projetos e pipelines de SageMaker IA.
+ `codecommit`— Necessário para AWS CodeCommit integração com instâncias de notebooks de SageMaker IA.
+ `cognito-idp`— Necessário para que o Amazon SageMaker Ground Truth defina força de trabalho e equipes de trabalho privadas.
+ `ec2`— Necessário para que a SageMaker IA gerencie recursos e interfaces de rede do Amazon EC2 quando você especifica uma Amazon VPC para suas tarefas, modelos, endpoints e instâncias de notebook de SageMaker IA.
+ `ecr`— Necessário para extrair e armazenar artefatos do Docker para Amazon SageMaker Studio Classic (imagens personalizadas), treinamento, processamento, inferência em lote e endpoints de inferência. Isso também é necessário para usar seu próprio contêiner na SageMaker IA. Permissões adicionais para JumpStart soluções de SageMaker IA são necessárias para criar e remover imagens personalizadas em nome dos usuários.
+ `elasticfilesystem`: permite que as entidades principais acessem o Amazon Elastic File System. Isso é necessário para que a SageMaker IA use fontes de dados no Amazon Elastic File System para treinar modelos de aprendizado de máquina.
+ `fsx`— Permite que os diretores acessem a Amazon FSx. Isso é necessário para que a SageMaker IA use fontes de dados na Amazon FSx para treinar modelos de aprendizado de máquina.
+ `glue`— Necessário para o pré-processamento do pipeline de inferência a partir de instâncias de notebooks de SageMaker IA.
+ `groundtruthlabeling`: necessário para trabalhos de rotulagem do Ground Truth. O endpoint `groundtruthlabeling` é acessado pelo console do Ground Truth.
+ `iam`— Necessário dar ao console de SageMaker IA acesso às funções do IAM disponíveis e criar funções vinculadas a serviços.
+ `kms`— Necessário dar ao console de SageMaker IA acesso às AWS KMS chaves disponíveis e recuperá-las para qualquer AWS KMS alias especificado em trabalhos e endpoints.
+ `lambda`: permite que as entidades principais invoquem e obtenham uma lista de funções do AWS Lambda .
+ `logs`— Necessário para permitir que tarefas e endpoints de SageMaker IA publiquem fluxos de registros.
+ `redshift`: permite que as entidades principais acessem as credenciais do cluster Amazon Redshift.
+ `redshift-data`: permite que as entidades principais usem dados do Amazon Redshift para executar, descrever e cancelar declarações; obter resultados de declarações; e listar esquemas e tabelas.
+ `robomaker`— Permite que os diretores tenham acesso total para criar, obter descrições e excluir aplicativos e trabalhos de AWS RoboMaker simulação. Isso também é necessário para executar exemplos de aprendizado por reforço em instâncias de cadernos.
+ `s3, s3express`— Permite que os diretores tenham acesso total aos recursos do Amazon S3 e do Amazon S3 Express relacionados SageMaker à IA, mas não a todos os recursos do Amazon S3 ou do Amazon S3 Express.
+ `sagemaker`— Permite que os diretores listem tags em perfis de usuário de SageMaker IA e adicionem tags a aplicativos e espaços de SageMaker IA. Permite acesso somente às definições de fluxo de SageMaker IA do sagemaker: WorkteamType “multidão privada” ou “multidão de fornecedores”. Permite o uso e a descrição dos planos de treinamento de SageMaker IA e da capacidade reservada em cargos e SageMaker HyperPod clusters de SageMaker treinamento em todas as AWS regiões em que o recurso de planos de treinamento está acessível.
+ `sagemaker`e `sagemaker-geospatial` — Permite que os diretores tenham acesso somente de leitura aos domínios de SageMaker IA e aos perfis de usuário.
+ `secretsmanager`: concede às entidades principais acesso total ao AWS Secrets Manager. As entidades principais podem criptografar, armazenar e recuperar credenciais com segurança para bancos de dados e outros serviços. Isso também é necessário para instâncias de notebook de SageMaker SageMaker IA com repositórios de código de IA que usam GitHub.
+ `servicecatalog`: permite que as entidades principais usem o Service Catalog. Os diretores podem criar, obter uma lista, atualizar ou encerrar produtos provisionados, como servidores, bancos de dados, sites ou aplicativos implantados usando recursos. AWS Isso é necessário para que a SageMaker IA JumpStart e os projetos encontrem e leiam produtos do catálogo de serviços e lancem AWS recursos nos usuários.
+ `sns`: permite que as entidades principais visualizem uma lista de tópicos do Amazon SNS. Isso é necessário para endpoints com inferência assíncrona habilitada para notificar os usuários de que sua inferência foi concluída.
+ `states`— Necessário para que a SageMaker IA JumpStart e os Pipelines usem um catálogo de serviços para criar recursos de função de etapas.
+ `tag`— Necessário para que o SageMaker AI Pipelines seja renderizado no Studio Classic. O Studio Classic precisa de recursos marcados com uma tag-chave `sagemaker:project-id` específica. Isso requer a permissão `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerReadOnly
Essa política concede acesso somente de leitura à Amazon SageMaker AI por meio do SDK Console de gerenciamento da AWS .
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `application-autoscaling`— Permite que os usuários procurem descrições de endpoints de inferência de SageMaker IA em tempo real escaláveis.
+ `aws-marketplace`— Permite que os usuários visualizem as assinaturas do AWS AI Marketplace.
+ `cloudwatch`— Permite que os usuários recebam CloudWatch alarmes.
+ `cognito-idp`— Necessário para que o Amazon SageMaker Ground Truth busque descrições e listas de funcionários e equipes de trabalho privadas.
+ `ecr`: necessário para extrair e armazenar artefatos do Docker para treinamento e inferência.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS políticas gerenciadas para o Amazon SageMaker Canvas
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o Amazon SageMaker Canvas. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerCanvasFullAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [
## AWS política gerenciada: AmazonSageMakerCanvasDataPrepFullAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [
## AWS política gerenciada: AmazonSageMakerCanvasDirectDeployAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [
## AWS política gerenciada: AmazonSageMakerCanvas AIServices Acesso
](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [
## AWS política gerenciada: AmazonSageMakerCanvasBedrockAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [
## AWS política gerenciada: AmazonSageMakerCanvasForecastAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [
## AWS política gerenciada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [
## Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Amazon SageMaker Canvas
](#security-iam-awsmanpol-canvas-updates)
## AWS política gerenciada: AmazonSageMakerCanvasFullAccess
Essa política concede permissões que permitem acesso total ao Amazon SageMaker Canvas por meio do Console de gerenciamento da AWS SDK. A política também fornece acesso seleto a serviços relacionados [por exemplo, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon SageMaker Autopilot, Model Registry e Amazon AWS Secrets Manager Forecast SageMaker Forecast].
Esta política tem como objetivo ajudar os clientes a experimentar e começar com todos os recursos do SageMaker Canvas. Para um controle mais refinado, sugerimos que os clientes criem suas próprias versões com escopo reduzido à medida que migram para os workloads de produção. Para obter mais informações, consulte [Tipos de política do IAM: como e quando usá-las](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/).
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker`— Permite que os diretores criem e SageMaker hospedem modelos de IA em recursos cujo ARN contém “Canvas”, “tela” ou “compilação de modelos”. Além disso, os usuários podem registrar seu modelo SageMaker Canvas no SageMaker AI Model Registry na mesma AWS conta. Também permite que os diretores criem e gerenciem tarefas de SageMaker treinamento, transformação e AutoML.
+ `application-autoscaling`— Permite que os diretores escalem automaticamente um endpoint de inferência de SageMaker IA.
+ `athena`: permite que as entidades principais consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas do Amazon Athena, além de acessar tabelas em catálogos.
+ `cloudwatch`— Permite que os diretores criem e gerenciem alarmes da Amazon CloudWatch .
+ `ec2`: permite que as entidades principais criem endpoints da Amazon VPC.
+ `ecr`: permite que as entidades principais obtenham informações sobre a imagem de um contêiner.
+ `emr-serverless`: permite que as entidades principais criem e gerenciem aplicações e execuções de trabalho do Amazon EMR Sem Servidor. Também permite que os diretores marquem os recursos do SageMaker Canvas.
+ `forecast`: permite que as entidades principais usem o Amazon Forecast.
+ `glue`— permite que os diretores recuperem as tabelas, bancos de dados e partições no catálogo. AWS Glue
+ `iam`— Permite que os diretores passem uma função do IAM para o Amazon SageMaker AI, o Amazon Forecast e o Amazon EMR Serverless. Também permite que as entidades principais criem um perfil vinculado a serviço.
+ `kms`— Permite que os diretores leiam uma AWS KMS chave marcada com`Source:SageMakerCanvas`.
+ `logs`: permite que as entidades principais publiquem logs de trabalhos de treinamento e endpoints.
+ `quicksight`— Permite que os diretores listem os namespaces na conta rápida.
+ `rds`: permite que as entidades principais retornem informações sobre instâncias do Amazon RDS.
+ `redshift`: permite que as entidades principais obtenham credenciais para um administrador “sagemaker\$1access\$1” em qualquer cluster do Amazon Redshift, se esse usuário existir.
+ `redshift-data`: permite que as entidades principais executem consultas no Amazon Redshift usando a API de dados do Amazon Redshift. Isso só fornece acesso aos dados do Redshift em APIs si e não fornece acesso direto aos seus clusters do Amazon Redshift. Para obter mais informações, consulte [Uso da API de dados do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker“, “Sagemaker” ou “sagemaker”. Também permite que os diretores recuperem objetos dos buckets do Amazon S3 cujo ARN começa com jumpstart-cache-prod "-” em regiões específicas.
+ `secretsmanager`: permite que as entidades principais armazenem as credenciais do cliente para se conectarem a um banco de dados do Snowflake usando o Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política gerenciada: AmazonSageMakerCanvasDataPrepFullAccess
Essa política concede permissões que permitem acesso total à funcionalidade de preparação de dados do Amazon SageMaker Canvas. A política também fornece permissões de privilégio mínimo para os serviços que se integram à funcionalidade de preparação de dados [por exemplo, Amazon Simple Storage Service (Amazon S3), ( AWS Identity and Access Management IAM), Amazon EMR, Amazon, Amazon EventBridge Redshift, () e]. AWS Key Management Service AWS KMS AWS Secrets Manager
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker`: permite que as entidades principais acessem trabalhos de processamento, trabalhos de treinamento, pipelines de inferência, trabalhos de AutoML e grupos de atributos.
+ `athena`: permite que as entidades principais consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas do Amazon Athena.
+ `elasticmapreduce`: permite que as entidades principais leiam e listem os clusters do Amazon EMR.
+ `emr-serverless`: permite que as entidades principais criem e gerenciem aplicações e execuções de trabalho do Amazon EMR Sem Servidor. Também permite que os diretores marquem os recursos do SageMaker Canvas.
+ `events`— Permite que os diretores criem, leiam, atualizem e adicionem metas às EventBridge regras da Amazon para trabalhos agendados.
+ `glue`— Permite que os diretores obtenham e pesquisem tabelas de bancos de dados no AWS Glue catálogo.
+ `iam`— Permite que os diretores passem uma função do IAM para o Amazon SageMaker AI e o Amazon EMR Serverless. EventBridge Também permite que as entidades principais criem um perfil vinculado a serviço.
+ `kms`— permite que os diretores recuperem AWS KMS aliases armazenados em tarefas e endpoints e acessem a chave KMS associada.
+ `logs`: permite que as entidades principais publiquem logs de trabalhos de treinamento e endpoints.
+ `redshift`: permite que as entidades principais obtenham credenciais para acessar o banco de dados do Amazon Redshift.
+ `redshift-data`: permite que as entidades principais executem, cancelem, descrevam, listem e obtenham os resultados das consultas do Amazon Redshift. Também permite que as entidades principais listem esquemas e tabelas do Amazon Redshift.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker“, “Sagemaker” ou “sagemaker”; ou estão marcados com "SageMaker“, sem distinção entre maiúsculas e minúsculas.
+ `secretsmanager`: permite que as entidades principais armazenem e recuperem credenciais da base de dados de cliente usando o Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política gerenciada: AmazonSageMakerCanvasDirectDeployAccess
Essa política concede as permissões necessárias para que o Amazon SageMaker Canvas crie e gerencie endpoints do Amazon SageMaker AI.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker`— Permite que os diretores criem e gerenciem endpoints de SageMaker IA com um nome de recurso ARN que comece com “Canvas” ou “canvas”.
+ `cloudwatch`— Permite que os diretores recuperem dados CloudWatch métricos da Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerCanvas AIServices Acesso
Essa política concede permissões para o Amazon SageMaker Canvas usar o Amazon Textract, o Amazon Rekognition, o Amazon Comprehend e o Amazon Bedrock.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `textract`: permite que as entidades principais usem o Amazon Textract para detectar documentos, gastos e identidades em uma imagem.
+ `rekognition`: permite que as entidades principais usem o Amazon Rekognition para detectar rótulos e texto em uma imagem.
+ `comprehend`: permite que as entidades principais usem o Amazon Comprehend para detectar sentimentos, linguagem dominante e entidades de informações de identificação pessoal (PII) e nomeadas em um documento de texto.
+ `bedrock`: permite que as entidades principais usem o Amazon Bedrock para listar e invocar modelos básicos.
+ `iam`: permite que as entidades principais passem um perfil do IAM para o Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS política gerenciada: AmazonSageMakerCanvasBedrockAccess
Essa política concede as permissões normalmente necessárias para usar o Amazon SageMaker Canvas com o Amazon Bedrock.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3 no diretório "sagemaker-\$1/Canvas".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerCanvasForecastAccess
Essa política concede as permissões normalmente necessárias para usar o Amazon SageMaker Canvas com o Amazon Forecast.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome começa com “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Essa política concede permissões ao Amazon EMR Serverless para AWS serviços, como o Amazon S3, usados pelo SageMaker Amazon Canvas para processamento de grandes volumes de dados.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker" ou “sagemaker”; ou estão marcados com "SageMaker“, sem distinção entre maiúsculas e minúsculas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Essa política concede permissões aos usuários do Amazon SageMaker Canvas para iniciar conversas com o Amazon Q Developer. Esse recurso requer permissões tanto para o Amazon Q Developer quanto para o serviço SageMaker AI Data Science Assistant.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `q`: permite que as entidades principais enviem solicitações ao Amazon Q Developer.
+ `sagemaker-data-science-assistant`— Permite que os diretores enviem solicitações para o serviço SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Amazon SageMaker Canvas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do SageMaker Canvas desde que esse serviço começou a rastrear essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - Atualização em uma política existente | 2 | Adicione a permissão `q:StartConversation`. | 14 de janeiro de 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - Nova política | 1 | Política inicial | 4 de dezembro de 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) - Atualização em uma política existente | 4 | Adicione recurso à permissão `IAMPassOperationForEMRServerless`. | 16 de agosto de 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) - Atualização em uma política existente | 11 | Adicione recurso à permissão `IAMPassOperationForEMRServerless`. | 15 de agosto de 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy) - Nova política | 1 | Política inicial | 26 de julho de 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess - Atualização em uma política existente | 3 | Adicione as permissões `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` e `emr-serverless:TagResource` . | 18 de julho de 2024 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 10 | Adicione as permissões `application-autoscaling:DescribeScalingActivities` `iam:PassRole`, `kms:DescribeKey` e `quicksight:ListNamespaces`. Adicione as permissões `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` e `sagemaker:StopTransformJob`. Adicione permissões `athena:ListTableMetadata`, `athena:ListDataCatalogs` e `athena:ListDatabases`. Adicione permissões `glue:GetDatabases`, `glue:GetPartitions` e `glue:GetTables`. Adicione as permissões `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` e `emr-serverless:TagResource`. | 9 de julho de 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess) - Nova política | 1 | Política inicial | 2 de fevereiro de 2024 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 9 | Adicione a permissão `sagemaker:ListEndpoints`. | 24 de janeiro de 2024 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 8 | Adicione as permissões `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` e `iam:CreateServiceLinkedRole`. | 8 de dezembro de 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Atualização em uma política existente | 2 | Pequena atualização para reforçar as intenções da política anterior, versão 1; nenhuma permissão foi adicionada ou excluída. | 7 de dezembro de 2023 |
| [AmazonSageMakerCanvasAIServicesAcesso](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) - Atualização em uma política existente | 3 | Adicione as permissões `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` e `iam:PassRole`. | 29 de novembro de 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Nova política | 1 | Política inicial | 26 de outubro de 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess) - Nova política | 1 | Política inicial | 6 de outubro de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 7 | Adicione permissões `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel` e `sagemaker:InvokeEndpoint`. Adicione também `s3:GetObject` permissão para JumpStart recursos em regiões específicas. | 29 de setembro de 2023 |
| AmazonSageMakerCanvasAIServicesAcesso - Atualização de uma política existente | 2 | Adicione permissões `bedrock:InvokeModel` e `bedrock:ListFoundationModels`. | 29 de setembro de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 6 | Adicione a permissão `rds:DescribeDBInstances`. | 29 de agosto de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 5 | Adicione permissões `application-autoscaling:PutScalingPolicy` e `application-autoscaling:RegisterScalableTarget`. | 24 de julho de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 4 | Adicione permissões `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages` e `sagemaker:ListModelPackageGroups`. | 4 de maio de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 3 | Adicione permissões `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` e `glue:SearchTables`. | 24 de março de 2023 |
| AmazonSageMakerCanvasAIServicesAcesso - Nova política | 1 | Política inicial | 23 de março de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 2 | Adicione a permissão `forecast:DeleteResourceTree`. | 6 de dezembro de 2022 |
| AmazonSageMakerCanvasFullAccess - Nova política | 1 | Política inicial | 8 de setembro de 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess) - Nova política | 1 | Política inicial | 24 de agosto de 2022 |
# AWS políticas gerenciadas para a Amazon SageMaker Feature Store
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o Feature Store. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerFeatureStoreAccess
](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas da Amazon SageMaker Feature Store
](#security-iam-awsmanpol-feature-store-updates)
## AWS política gerenciada: AmazonSageMakerFeatureStoreAccess
Essa política concede as permissões necessárias para habilitar a loja off-line para um grupo de SageMaker recursos da Amazon Feature Store.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais gravem dados em um bucket do Amazon S3 do armazenamento offline. Esses compartimentos são limitados àqueles cujo nome inclui "SageMaker“, “Sagemaker” ou “sagemaker”.
+ `s3`: permite que as entidades principais leiam os arquivos de manifesto existentes mantidos na pasta de `metadata` de um bucket S3 do armazenamento offline.
+ `glue`— Permite que os diretores leiam e atualizem as tabelas AWS Glue. Essas permissões são limitadas às tabelas na pasta `sagemaker_featurestore`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas da Amazon SageMaker Feature Store
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Feature Store desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) - Atualização em uma política existente | 3 | Adicione permissões `s3:GetObject`, `glue:GetTable` e `glue:UpdateTable`. | 5 de dezembro de 2022 |
| AmazonSageMakerFeatureStoreAccess - Atualização de uma política existente | 2 | Adicione a permissão `s3:PutObjectAcl`. | 23 de fevereiro de 2021 |
| AmazonSageMakerFeatureStoreAccess - Nova política | 1 | Política inicial | 1º de dezembro de 2020 |
# AWS políticas gerenciadas para o setor SageMaker geoespacial da Amazon
Essas políticas AWS gerenciadas adicionam as permissões necessárias para o uso SageMaker geoespacial. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerGeospatialFullAccess
](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [
## AWS política gerenciada: AmazonSageMakerGeospatialExecutionRole
](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [
## Atualizações da Amazon SageMaker AI para as políticas SageMaker gerenciadas geoespaciais da Amazon
](#security-iam-awsmanpol-geospatial-updates)
## AWS política gerenciada: AmazonSageMakerGeospatialFullAccess
Essa política concede permissões que permitem acesso total à SageMaker região geoespacial da Amazon por meio do Console de gerenciamento da AWS SDK.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker-geospatial`— Permite aos diretores acesso total a todos os recursos SageMaker geoespaciais.
+ `iam`— Permite que os diretores passem uma função do IAM para o setor SageMaker geoespacial.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerGeospatialExecutionRole
Essa política concede as permissões normalmente necessárias para o uso SageMaker geoespacial.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome contém "SageMaker“, “Sagemaker” ou “sagemaker”.
+ `sagemaker-geospatial`: permite que as entidades principais acessem trabalhos de observação da Terra por meio da API `GetEarthObservationJob` .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas SageMaker gerenciadas geoespaciais da Amazon
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para áreas SageMaker geoespaciais desde que esse serviço começou a rastrear essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole): política atualizada | 2 | Adicione a permissão `sagemaker-geospatial:GetRasterDataCollection`. | 10 de maio de 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess) - Nova política | 1 | Política inicial | 30 de novembro de 2022 |
| AmazonSageMakerGeospatialExecutionRole - Nova política | 1 | Política inicial | 30 de novembro de 2022 |
# AWS Políticas gerenciadas para o Amazon SageMaker Ground Truth
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o SageMaker AI Ground Truth. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerGroundTruthExecution
](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Ground Truth
](#security-iam-awsmanpol-groundtruth-updates)
## AWS política gerenciada: AmazonSageMakerGroundTruthExecution
Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o SageMaker AI Ground Truth.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `lambda`— Permite que os diretores invoquem funções do Lambda cujo nome inclui “sagemaker” (sem distinção entre maiúsculas e minúsculas), "“ou"”. GtRecipe LabelingFunction
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome que não diferencia maiúsculas de minúsculas contém “groundtruth” ou “sagemaker”, ou estão marcados com "”. SageMaker
+ `cloudwatch`— Permite que os diretores publiquem CloudWatch métricas.
+ `logs`: permite que as entidades principais criem e acessem fluxos de log e publiquem eventos de log.
+ `sqs`: permite que as entidades principais criem filas do Amazon SQS e enviem e recebam mensagens do Amazon SQS. Essas permissões são limitadas às filas cujo nome inclui "GroundTruth”.
+ `sns`: permite que as entidades principais assinem e publiquem mensagens em tópicos do Amazon SNS cujo nome, sem distinção entre maiúsculas e minúsculas, contém “groundtruth” ou “sagemaker”.
+ `ec2`— Permite que os diretores criem, descrevam e excluam endpoints da Amazon VPC cujo nome de serviço de endpoint de VPC sagemaker-task-resources contenha "" ou “rotulagem”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Ground Truth
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon SageMaker AI Ground Truth desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) - Atualização em uma política existente | 3 | Adicione permissões `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` e `ec2:DeleteVpcEndpoints`. | 29 de abril de 2022 |
| AmazonSageMakerGroundTruthExecution - Atualização de uma política existente | 2 | Remova a permissão `sqs:SendMessageBatch`. | 11 de abril de 2022 |
| AmazonSageMakerGroundTruthExecution - Nova política | 1 | Política inicial | 20 de julho de 2020 |
# AWS políticas gerenciadas para a Amazon SageMaker HyperPod
As políticas AWS gerenciadas a seguir adicionam as permissões necessárias para usar a Amazon SageMaker HyperPod. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA ou na função HyperPod vinculada ao serviço.
**Topics**
+ [
# AWS política gerenciada: AmazonSageMakerHyperPodTrainingOperatorAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [
# AWS política gerenciada: AmazonSageMakerHyperPodObservabilityAdminAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [
# AWS política gerenciada: AmazonSageMakerHyperPodServiceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [
# AWS política gerenciada: AmazonSageMakerClusterInstanceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [
## Atualizações da Amazon SageMaker AI para políticas SageMaker HyperPod gerenciadas
](#security-iam-awsmanpol-hyperpod-updates)
# AWS política gerenciada: AmazonSageMakerHyperPodTrainingOperatorAccess
Essa política fornece as permissões administrativas necessárias para configurar o operador SageMaker HyperPod de treinamento. Ele permite o acesso SageMaker HyperPod e os complementos do Amazon EKS. A política inclui permissões para descrever os SageMaker HyperPod recursos em sua conta.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `sagemaker:DescribeClusterNode`- Permite que os usuários retornem informações sobre um HyperPod cluster.
Para ver as permissões dessa política, consulte [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)na Referência de política AWS gerenciada.
# AWS política gerenciada: AmazonSageMakerHyperPodObservabilityAdminAccess
Essa política fornece os privilégios administrativos necessários para configurar a SageMaker HyperPod observabilidade da Amazon. Permite acesso aos complementos do Amazon Managed Service for Prometheus, do Amazon Managed Grafana e do Amazon Elastic Kubernetes Service. A política também inclui amplo acesso ao HTTP da Grafana ServiceAccountTokens em todos os espaços APIs de trabalho da Amazon Managed Grafana em sua conta.
**Detalhes de permissões**
A lista a seguir apresenta uma visão geral das permissões incluídas nesta política.
+ `prometheus`: criar e gerenciar o Amazon Managed Service for Prometheus, espaços de trabalho e grupos de regras do Prometheus.
+ `grafana`: criar e gerenciar espaços de trabalho e contas de serviço do Amazon Managed Grafana.
+ `eks`: criar e gerenciar o complemento `amazon-sagemaker-hyperpod-observability` do Amazon EKS.
+ `iam`: transmitir perfis de serviço específicos do IAM para o Amazon Managed Grafana e o Amazon EKS.
+ `sagemaker`— Lista e descreve SageMaker HyperPod clusters
+ `sso`: criar e gerenciar instâncias de aplicação do Centro de Identidade do IAM para configuração do Amazon Managed Grafana.
+ `tag`: atribuir tags a recursos complementares do Amazon Managed Service for Prometheus, Amazon Managed Grafana e do Amazon EKS.
Para ver a política JSON, consulte [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS política gerenciada: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod cria e usa a função vinculada ao serviço nomeada `AWSServiceRoleForSageMakerHyperPod` com a função `AmazonSageMakerHyperPodServiceRolePolicy` anexada. Essa política concede SageMaker HyperPod permissões à Amazon para AWS serviços relacionados, como Amazon EKS e Amazon CloudWatch.
A função vinculada ao serviço facilita a configuração SageMaker HyperPod porque você não precisa adicionar manualmente as permissões necessárias. SageMaker HyperPod define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só SageMaker HyperPod pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus SageMaker HyperPod recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
O `AmazonSageMakerHyperPodServiceRolePolicy` permite SageMaker HyperPod concluir as seguintes ações nos recursos especificados em seu nome.
**Detalhes das permissões**
Esse perfil vinculado a serviço inclui as permissões a seguir.
+ `eks`: permite que as entidades principais leiam informações de cluster do Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Permite que os diretores publiquem fluxos de CloudWatch log da Amazon no. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para SageMaker HyperPod
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um SageMaker HyperPod cluster usando o console de SageMaker IA, o AWS CLI, ou o AWS SDKs, SageMaker HyperPod cria a função vinculada ao serviço para você.
Se você excluir essa função vinculada ao serviço, mas precisar criá-la novamente, poderá usar o mesmo processo (criar um novo SageMaker HyperPod cluster) para recriar a função em sua conta.
## Editando uma função vinculada ao serviço para SageMaker HyperPod
SageMaker HyperPod não permite que você edite a função `AWSServiceRoleForSageMakerHyperPod` vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para SageMaker HyperPod
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**Para excluir recursos de SageMaker HyperPod cluster usando a função vinculada ao serviço**
Use uma das opções a seguir para excluir recursos SageMaker HyperPod do cluster.
+ [Excluir um SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) usando o console de SageMaker IA
+ [Exclua um SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) usando o AWS CLI
**nota**
Se o SageMaker HyperPod serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função `AWSServiceRoleForSageMakerHyperPod` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a SageMaker HyperPod serviços
SageMaker HyperPod suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Pré-requisitos para](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html). SageMaker HyperPod
# AWS política gerenciada: AmazonSageMakerClusterInstanceRolePolicy
Essa política concede as permissões normalmente necessárias para usar a Amazon SageMaker HyperPod.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `cloudwatch`— Permite que os diretores publiquem CloudWatch métricas da Amazon.
+ `logs`— Permite que os diretores publiquem fluxos de CloudWatch registros.
+ `s3`: permite que as entidades principais listem e recuperem arquivos de script de ciclo de vida a partir de um bucket do Amazon S3 em sua conta. Os buckets estão limitados àqueles cujo nome começa com “sagemaker-”.
+ `ssmmessages`: permite que as entidades principais abram uma conexão com o AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para políticas SageMaker HyperPod gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas SageMaker HyperPod desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) - Nova política | 1 | Política inicial | 22 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): política atualizada | 2 | A política foi atualizada para corrigir a redução do escopo de perfil e incluir o prefixo `service-role`. Também foram adicionadas permissões para `eks:DeletePodIdentityAssociation` e `eks:UpdatePodIdentityAssociation` que são necessárias para ações end-to-end administrativas. | 19 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) - Nova política | 1 | Política inicial | 10 de julho de 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) - Nova política | 1 | Política inicial | 9 de setembro de 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) - Nova política | 1 | Política inicial | 29 de novembro de 2023 |
# AWS Políticas gerenciadas para governança do modelo de SageMaker IA
Essa política AWS gerenciada adiciona as permissões necessárias para usar o SageMaker AI Model Governance. A política está disponível em sua AWS conta e é usada por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerModelGovernanceUseAccess
](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Model Governance
](#security-iam-awsmanpol-governance-updates)
## AWS política gerenciada: AmazonSageMakerModelGovernanceUseAccess
Essa política AWS gerenciada concede as permissões necessárias para usar todos os recursos de governança de SageMaker IA da Amazon. A política está disponível em sua AWS conta.
Esta política inclui as seguintes permissões.
+ `s3`: recupera objetos dos buckets do Amazon S3. Os objetos recuperáveis são limitados àqueles cujo nome que não diferencia maiúsculas de minúsculas contenha a sequência. `"sagemaker"`
+ `kms`— Liste as AWS KMS chaves a serem usadas para criptografia de conteúdo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Model Governance
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para o SageMaker AI Model Governance desde que esse serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) - Atualização em uma política existente | 3 | Adicionar declaração IDs (`Sid`). | 4 de junho de 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Atualização de uma política existente | 2 | Adicione permissões `sagemaker:DescribeModelPackage` e `DescribeModelPackageGroup`. | 17 de julho de 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Nova política | 1 | Política inicial | 30 de novembro de 2022 |
# AWS Políticas gerenciadas para registro de modelos
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o Model Registry. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console Amazon SageMaker AI.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerModelRegistryFullAccess
](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [
## Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Model Registry
](#security-iam-awsmanpol-model-registry-updates)
## AWS política gerenciada: AmazonSageMakerModelRegistryFullAccess
Essa política AWS gerenciada concede as permissões necessárias para usar todos os recursos do Model Registry dentro de um domínio Amazon SageMaker AI. Essa política é anexada a um perfil de execução ao definir as configurações do Registro de Modelos para habilitar as permissões do Registro de Modelos.
Esta política inclui as seguintes permissões.
+ `ecr`: permite que as entidades principais recuperem informações, incluindo metadados, sobre imagens do Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Permite que os diretores passem a função de execução para o serviço Amazon SageMaker AI.
+ `resource-groups`— Permite que os diretores criem, listem, marquem e AWS Resource Groups excluam.
+ `s3`: permite que entidades principais recuperem objetos dos buckets do Amazon Simple Storage Service (Amazon S3) nos quais as versões do modelo são armazenadas. Os objetos recuperáveis são limitados àqueles cujo nome que não diferencia maiúsculas de minúsculas contenha a sequência. `"sagemaker"`
+ `sagemaker`— Permite que os diretores cataloguem, gerenciem e implantem modelos usando o Registro de SageMaker Modelos.
+ `kms`— Permite que somente o diretor do serviço de SageMaker IA adicione uma concessão, gere chaves de dados, decodifique e leia AWS KMS chaves, e somente chaves marcadas para uso como “sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Model Registry
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Model Registry desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) - Atualização em uma política existente | 2 | Adicione as permissões `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` e `kms:Decrypt`. | 6 de junho de 2024 |
| AmazonSageMakerModelRegistryFullAccess - Nova política | 1 | Política inicial | 12 de abril de 2023 |
# AWS Políticas gerenciadas para SageMaker notebooks
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar os SageMaker Notebooks. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerNotebooksServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas do SageMaker AI Notebooks
](#security-iam-awsmanpol-notebooks-updates)
## AWS política gerenciada: AmazonSageMakerNotebooksServiceRolePolicy
Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o Amazon SageMaker Notebooks. A política é adicionada à `AWSServiceRoleForAmazonSageMakerNotebooks` que é criada quando você se integra ao Amazon SageMaker Studio Classic. Para obter mais informações sobre os perfis vinculados ao serviço, consulte [Perfis vinculados ao serviço](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Para obter mais informações, consulte [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html).
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `elasticfilesystem`: permite que as entidades principais criem e excluam sistemas de arquivos, pontos de acesso e destinos de montagem do Amazon Elastic File System (EFS). Eles são limitados aos marcados com a chave *ManagedByAmazonSageMakerResource*. Permite que as entidades principais descrevam todos os sistemas de arquivos EFS, pontos de acesso e destinos de montagem. Permite que as entidades principais criem ou sobrescrevam tags para pontos de acesso do EFS e alvos de montagem.
+ `ec2`: permite que as entidades principais criem interfaces de rede e grupos de segurança para instâncias do Amazon Elastic Compute Cloud (EC2). Também permite que as entidades principais criem e substituam tags para esses recursos.
+ `sso`: permite que as entidades principais adicionem e excluam instâncias de aplicações gerenciadas em . Centro de Identidade do AWS IAM
+ `sagemaker`— Permite que os diretores criem e leiam SageMaker perfis de usuário e espaços de SageMaker IA; excluam espaços de SageMaker IA e aplicativos de SageMaker IA; e adicionem e listem tags.
+ `fsx`— Permite que os diretores descrevam o sistema de arquivos Amazon FSx for Lustre e usem os metadados para montá-lo no notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas do SageMaker AI Notebooks
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Atualização em uma política existente | 10 | Adicione a permissão `fsx:DescribeFileSystems`. | 14 de novembro de 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Atualização em uma política existente | 9 | Adicione a permissão `sagemaker:DeleteApp`. | 24 de julho de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 8 | Adicione permissões `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` e `sagemaker:AddTags`. | 22 de maio de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 7 | Adicione a permissão `elasticfilesystem:TagResource`. | 9 de março de 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 6 | Adicione permissões `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` e `elasticfilesystem:DescribeAccessPoints`. | 12 de janeiro de 2023 |
| | | SageMaker A IA começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 1º de junho de 2021 |
# AWS políticas gerenciadas para Amazon SageMaker Partner AI Apps
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar os Amazon SageMaker Partner AI Apps. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerPartnerAppsFullAccess
](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas do Partner AI Apps
](#security-iam-awsmanpol-partner-apps-updates)
## AWS política gerenciada: AmazonSageMakerPartnerAppsFullAccess
Permite acesso administrativo total aos aplicativos de IA do Amazon SageMaker Partner.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker`— Permite que os usuários do Amazon SageMaker Partner AI App acessem aplicativos, listem aplicativos disponíveis, iniciem aplicativos na web UIs e se conectem usando o SDK do aplicativo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas do Partner AI Apps
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Partner AI Apps desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Nova política | 1 | Política inicial | 17 de janeiro de 2025 |
# AWS Políticas gerenciadas para SageMaker oleodutos
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar os SageMaker Pipelines. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerPipelinesIntegrations
](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Pipelines
](#security-iam-awsmanpol-pipelines-updates)
## AWS política gerenciada: AmazonSageMakerPipelinesIntegrations
Essa política AWS gerenciada concede as permissões normalmente necessárias para usar etapas de retorno de chamada e etapas Lambda em pipelines. SageMaker A política é adicionada à `AmazonSageMaker-ExecutionRole` que é criada quando você se integra ao Amazon SageMaker Studio Classic. A política pode ser anexada a qualquer perfil usado para criar ou executar um pipeline.s
Essa política concede as permissões apropriadas para AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon e IAM necessárias para criar pipelines que invocam funções do Lambda ou incluem etapas de retorno de chamada, que podem ser usadas para etapas de aprovação manual ou execução de cargas de trabalho personalizadas.
As permissões do Amazon SQS permitem que você crie a fila do Amazon SQS necessária para receber mensagens de retorno de chamada e também para enviar mensagens para essa fila.
As permissões do Lambda permitem criar, ler, atualizar e excluir as funções do Lambda usadas nas etapas do pipeline e também invocar essas funções do Lambda.
Essa política concede ao Amazon EMR as permissões necessárias para executar uma etapa do Amazon EMR de pipelines.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `elasticmapreduce`: lê, adiciona e cancela etapas em um cluster do Amazon EMR em execução. Leia, crie e encerre um novo cluster do Amazon EMR.
+ `events`— Leia, crie, atualize e adicione alvos a uma EventBridge regra chamada `SageMakerPipelineExecutionEMRStepStatusUpdateRule` `SageMakerPipelineExecutionEMRClusterStatusUpdateRule` e.
+ `iam`— Passe uma função do IAM para o serviço AWS Lambda, Amazon EMR e Amazon EC2.
+ `lambda`: cria, lê, atualiza, exclui e invoca funções do Lambda. Essas permissões são limitadas às funções cujo nome inclui “sagemaker”.
+ `sqs`: cria uma fila do Amazon SQS; envia uma mensagem do Amazon SQS. Essas permissões são limitadas às filas cujo nome inclui “sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Pipelines
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Atualização em uma política existente | 3 | Permissões adicionadas para `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps` e `elasticmapreduce:DescribeCluster`. | 17 de fevereiro de 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Atualização em uma política existente | 2 | Permissões adicionadas para `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps` e `elasticmapreduce:DescribeStep`. | 20 de abril de 2022 |
| AmazonSageMakerPipelinesIntegrations - Nova política | 1 | Política inicial | 30 de julho de 2021 |
# AWS políticas gerenciadas para planos SageMaker de treinamento
Essa política AWS gerenciada concede as permissões necessárias para criar e gerenciar os planos de SageMaker treinamento e a capacidade reservada da Amazon em SageMaker IA. A política pode ser anexada às funções do IAM usadas para criar e gerenciar planos de treinamento e capacidade reservada dentro da SageMaker IA, incluindo sua [função de execução de SageMaker IA](sagemaker-roles.md).
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerTrainingPlanCreateAccess
](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [
## Amazon SageMaker AI atualiza as políticas gerenciadas de planos de SageMaker treinamento
](#security-iam-awsmanpol-training-plan-updates)
## AWS política gerenciada: AmazonSageMakerTrainingPlanCreateAccess
Essa política fornece as permissões necessárias para criar, descrever, pesquisar e listar planos de treinamento em SageMaker IA. Além disso, também permite adicionar tags aos planos de treinamento e recursos de capacidade reservada sob condições específicas.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sagemaker`: cria planos de treinamento e capacidade reservada, permite adicionar tags aos planos de treinamento e capacidade reservada quando a ação de marcação é especificamente `CreateTrainingPlan` ou `CreateReservedCapacity`, permite descrever planos de treinamento e permite pesquisar ofertas de planos de treinamento e listar os planos de treinamento existentes em todos os recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI atualiza as políticas gerenciadas de planos de SageMaker treinamento
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - política atualizada | 2 | Política atualizada para adicionar permissões para recuperar informações sobre uma capacidade reservada específica e listar tudo UltraServers em uma capacidade reservada. | 29 de julho de 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Nova política | 1 | Política inicial | 4 de dezembro de 2024 |
# AWS Políticas gerenciadas para SageMaker projetos e JumpStart
Essas políticas AWS gerenciadas adicionam permissões para usar modelos e JumpStart soluções de projetos integrados da Amazon SageMaker AI. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
SageMaker Projeta e JumpStart usa o AWS Service Catalog para provisionar AWS recursos nas contas dos clientes. Alguns recursos criados precisam assumir um perfil de execução. Por exemplo, se o AWS Service Catalog criar um CodePipeline pipeline em nome de um cliente para um CI/CD projeto de aprendizado de máquina de SageMaker IA, esse pipeline exigirá uma função do IAM.
A [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)função tem as permissões necessárias para lançar o portfólio de produtos de SageMaker IA do AWS Service Catalog. A [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)função tem as permissões necessárias para usar o portfólio de produtos de SageMaker IA do AWS Service Catalog. A `AmazonSageMakerServiceCatalogProductsLaunchRole` função passa uma `AmazonSageMakerServiceCatalogProductsUseRole` função para os recursos de produto provisionados do AWS Service Catalog.
**Topics**
+ [
## AWS política gerenciada: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Política
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsEventsServiceRole Política
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Política
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsGlueServiceRole Política
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Política
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [
## Atualizações da Amazon SageMaker AI nas políticas AWS gerenciadas do AWS Service Catalog
](#security-iam-awsmanpol-sc-updates)
## AWS política gerenciada: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Essa política de função de serviço é usada pelo AWS Service Catalog serviço para provisionar produtos do portfólio Amazon SageMaker AI. A política concede permissões a um conjunto de AWS serviços relacionados AWS CodePipeline, incluindo AWS CodeBuild, AWS CodeCommit, AWS CloudFormation, AWS Glue e outros.
A `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` política deve ser usada pela `AmazonSageMakerServiceCatalogProductsLaunchRole` função criada no console de SageMaker IA. A política adiciona permissões para provisionar AWS recursos para SageMaker projetos e JumpStart usar o Service Catalog na conta de um cliente.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `apigateway`: permite que o perfil chame os endpoints do API Gateway que estão com a tag `sagemaker:launch-source`.
+ `cloudformation`— Permite AWS Service Catalog criar, atualizar e excluir CloudFormation pilhas. Também permite que o Service Catalog adicione e remova tags de recursos.
+ `codebuild`— Permite que a função assumida AWS Service Catalog e passada CloudFormation para criar, atualizar e excluir CodeBuild projetos.
+ `codecommit`— Permite que a função assumida AWS Service Catalog e passada CloudFormation para criar, atualizar e excluir CodeCommit repositórios.
+ `codepipeline`— Permite que a função assumida AWS Service Catalog e passada CloudFormation seja criada, atualizada e excluída CodePipelines.
+ `codeconnections`, `codestar-connections` — Também permite que a função passe Conexões de código da AWS e AWS CodeStar as conexões.
+ `cognito-idp`: permite que o perfil crie, atualize e exclua grupos e grupos de usuários. Também permite marcar recursos com tag.
+ `ecr`— Permite que a função assumida AWS Service Catalog e transmitida crie e CloudFormation exclua repositórios do Amazon ECR. Também permite marcar recursos com tag.
+ `events`— Permite que a função assumida AWS Service Catalog e transmitida CloudFormation crie e exclua EventBridge regras. Usado para unir os vários componentes da tubulação CICD.
+ `firehose`: permite que a função interaja com fluxos do Firehose.
+ `glue`— Permite que a função interaja com AWS Glue.
+ `iam`: permite que o perfil passe as funções precedidas de `AmazonSageMakerServiceCatalog`. Isso é necessário quando o Projects provisiona um produto do AWS Service Catalog , pois um perfil precisa ser passado para AWS Service Catalog.
+ `lambda`: permite que o perfil interaja com AWS Lambda. Também permite marcar recursos com tag.
+ `logs`: permite que o perfil crie, exclua e acesse fluxos de log.
+ `s3`— Permite que a função assumida AWS Service Catalog e passada acesse CloudFormation os buckets do Amazon S3 onde o código do modelo do projeto está armazenado.
+ `sagemaker`— Permite que a função interaja com vários serviços de SageMaker IA. Isso é feito CloudFormation durante o provisionamento do modelo, bem como CodeBuild durante a execução do pipeline do CICD. Também permite marcar os seguintes recursos: endpoints, configurações de endpoints, modelos, pipelines, projetos e pacotes de modelos.
+ `states`: permite que o perfil crie, exclua e atualize o Step Functions precedido de `sagemaker`.
Para ver as permissões dessa política, consulte [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) na Referência de política AWS gerenciada.
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Essa política é usada pelo Amazon API Gateway nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo API Gateway que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `lambda`: invoca uma função criada por um modelo de parceiro.
+ `sagemaker`: invoca um endpoint criado por um modelo de parceiro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Essa política é usada AWS CloudFormation dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por CloudFormation ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `iam`: passa os perfis `AmazonSageMakerServiceCatalogProductsLambdaRole` e `AmazonSageMakerServiceCatalogProductsApiGatewayRole`.
+ `lambda`— Crie, atualize, exclua e invoque AWS Lambda funções; recupere, publique e exclua versões de uma camada Lambda.
+ `apigateway`: cria, atualiza e exclui recursos do Amazon API Gateway.
+ `s3`: recupera o arquivo `lambda-auth-code/layer.zip` de um bucket do Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Essa política é usada AWS Lambda dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo Lambda que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `secretsmanager`: recupera dados de segredos fornecidos pelo parceiro para um modelo de parceiro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Essa política é usada pelo Amazon API Gateway nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo API Gateway que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `logs`— Crie e leia grupos, fluxos e eventos de CloudWatch registros; atualize eventos; descreva vários recursos.
Essas permissões são limitadas aos recursos cujo prefixo do grupo de logs começa com “aws/apigateway/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Política
Essa política é usada AWS CloudFormation dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por CloudFormation ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sagemaker`— Permita o acesso a vários recursos de SageMaker IA, excluindo domínios, perfis de usuário, aplicativos e definições de fluxo.
+ `iam`: passa os perfis `AmazonSageMakerServiceCatalogProductsCodeBuildRole` e `AmazonSageMakerServiceCatalogProductsExecutionRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Essa política é usada AWS CodeBuild dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por CodeBuild ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sagemaker`— Permita o acesso a vários recursos de SageMaker IA.
+ `codecommit`— Faça upload CodeCommit de arquivos para CodeBuild pipelines, obtenha o status do upload e cancele os uploads; obtenha as informações da filial e confirme. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”.
+ `ecr`: cria repositórios e imagens de contêineres do Amazon ECR; faz o upload de camadas de imagem. Essas permissões são limitadas aos repositórios cujo nome começa com “sagemaker-”.
`ecr`: lê todos os recursos.
+ `iam`: passa os seguintes perfis:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`para AWS CloudFormation.
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`para AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`para AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`para a Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`para a Amazon SageMaker AI.
+ `logs`— Crie e leia grupos, fluxos e eventos de CloudWatch registros; atualize eventos; descreva vários recursos.
Essas permissões são limitadas aos recursos cujo prefixo do nome começa com “aws/codebuild/”.
+ `s3`: cria, lê e lista os buckets do Amazon S3. Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-”.
+ `codeconnections`, `codestar-connections` — Uso Conexões de código da AWS e AWS CodeStar conexões.
Para ver as permissões dessa política, consulte [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)na Referência de política AWS gerenciada.
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Essa política é usada AWS CodePipeline dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por CodePipeline ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `cloudformation`— criar, ler, excluir e atualizar CloudFormation pilhas; criar, ler, excluir e executar conjuntos de alterações; definir políticas de pilha; marcar e desmarcar recursos. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”.
+ `s3`: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL); e lê a região da AWS em que o bucket reside.
Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.
+ `iam`: passa o perfil `AmazonSageMakerServiceCatalogProductsCloudformationRole`.
+ `codebuild`— Obtenha informações de CodeBuild construção e inicie as construções. Essas permissões são limitadas aos recursos do projeto e da compilação cujo nome começa com “sagemaker-”.
+ `codecommit`— Faça upload CodeCommit de arquivos para CodeBuild pipelines, obtenha o status do upload e cancele os uploads; obtenha as informações da filial e confirme.
+ `codeconnections`, `codestar-connections` — Uso Conexões de código da AWS e AWS CodeStar conexões.
Para ver as permissões dessa política, consulte [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)na Referência de política AWS gerenciada.
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsEventsServiceRole Política
Essa política é usada pela Amazon EventBridge nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por EventBridge ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `codepipeline`— Inicie uma CodeBuild execução. Essas permissões são limitadas aos pipelines cujo nome começa com “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Política
Essa política é usada pelo Amazon Data Firehose nos produtos AWS Service Catalog provisionados do portfólio Amazon AI. SageMaker A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo Firehose que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `firehose`: envia registros do Firehose. Essas permissões são limitadas aos recursos cujo nome de fluxo de entrega começa com “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsGlueServiceRole Política
Essa política é usada pela AWS Glue nos produtos provisionados pelo AWS Service Catalog do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transferida para os AWS recursos criados pelo Glue que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `glue`— Crie, leia e exclua partições, tabelas e versões de tabelas do AWS Glue. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”. Crie e leia bancos de dados AWS Glue. Essas permissões são limitadas a bancos de dados cujo nome é “default”, “global\$1temp” ou começa com “sagemaker-”. Obtenha as funções definidas pelo usuário.
+ `s3`: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL) e lê a região da AWS em que o bucket reside.
Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.
+ `logs`— Crie, leia e exclua grupos de CloudWatch registros, fluxos e entregas de registros de registros e crie uma política de recursos.
Essas permissões são limitadas aos recursos cujo prefixo do nome começa com “aws/glue/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Política
Essa política é usada AWS Lambda dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo Lambda que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sagemaker`— Permita o acesso a vários recursos de SageMaker IA.
+ `ecr`: cria e exclui repositórios do Amazon ECR; cria, lê e exclui imagens de contêineres; faz upload de camadas de imagem. Essas permissões são limitadas aos repositórios cujo nome começa com “sagemaker-”.
+ `events`— Crie, leia e exclua as EventBridge regras da Amazon; e crie e remova alvos. Essas permissões são limitadas às regras cujo nome começa com “sagemaker-”.
+ `s3`: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL) e lê a região da AWS em que o bucket reside.
Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.
+ `iam`: passa o perfil `AmazonSageMakerServiceCatalogProductsExecutionRole`.
+ `logs`— Crie, leia e exclua grupos de CloudWatch registros, fluxos e entregas de registros de registros e crie uma política de recursos.
Essas permissões são limitadas aos recursos cujo prefixo do nome começa com “aws/lambda/”.
+ `codebuild`— Comece e obtenha informações sobre AWS CodeBuild construções.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI nas políticas AWS gerenciadas do AWS Service Catalog
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): política atualizada | 10 | Atualizado `codestar-connections:PassConnection` e com `codeconnections:PassConnection` permissões. | 27 de setembro de 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): Atualizar política | 3 | Atualizado `codestar-connections:UseConnection` e com `codeconnections:UseConnection` permissões. | 27 de setembro de 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): Atualizar política | 3 | Atualizado `codestar-connections:UseConnection` e com `codeconnections:UseConnection` permissões. | 27 de setembro de 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): Atualizar política | 9 | Adicione permissões `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 1º de julho de 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 7 | Reverta a política para a versão 7 (v7). Remova as permissões `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 12 de junho de 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 8 | Adicione permissões `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 11 de junho de 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): política atualizada | 2 | Adicione permissões `codestar-connections:UseConnection` e `codeconnections:UseConnection`. | 11 de junho de 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): política atualizada | 2 | Adicione as permissões `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` e `codeconnections:UseConnection`. | 11 de junho de 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy): política atualizada | 2 | Adicione permissões `codebuild:StartBuild` e `codebuild:BatchGetBuilds`. | 11 de junho de 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Política inicial | 1º de agosto de 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Política inicial | 1º de agosto de 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Política inicial | 1º de agosto de 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy): política atualizada | 2 | Adicione permissão para `glue:GetUserDefinedFunctions`. | 26 de agosto de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 7 | Adicione permissão para `sagemaker:AddTags`. | 2 de agosto de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 6 | Adicione permissão para `lambda:TagResource`. | 14 de julho de 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolítica | 1 | Política inicial | 4 de abril de 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Política inicial | 24 de março de 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Política inicial | 24 de março de 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Política inicial | 24 de março de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 5 | Adicione permissão para `ecr-idp:TagResource`. | 21 de março de 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Política inicial | 22 de fevereiro de 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Política inicial | 22 de fevereiro de 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Política inicial | 22 de fevereiro de 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolítica | 1 | Política inicial | 22 de fevereiro de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 4 | Adicione permissões para `cognito-idp:TagResource` e `s3:PutBucketCORS`. | 16 de fevereiro de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 3 | Adicione novas permissões para `sagemaker`. Crie, leia, atualize e exclua SageMaker imagens. | 15 de setembro de 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 2 | Adicione permissões para `sagemaker` e `codestar-connections`. Crie, leia, atualize e exclua repositórios de código. Passe AWS CodeStar as conexões para AWS CodePipeline. | 1.º de julho de 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Política inicial | 27 de novembro de 2020 |
## SageMaker Atualizações de IA para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para SageMaker IA desde que esse serviço começou a rastrear essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Atualização em uma política existente | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 de dezembro de 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Atualização em uma política existente | 26 | Adicione a permissão `sagemaker:AddTags`. | 29 de março de 2024 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 25 | Adicione as permissões `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` e `s3express:ListAllMyDirectoryBuckets` . | 30 de novembro de 2023 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 24 | Adicione permissões `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` e `sagemaker:ListSpaces`. | 30 de novembro de 2022 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 23 | Adicionar `glue:UpdateTable`. | 29 de junho de 2022 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 22 | Adicionar `cloudformation:ListStackResources`. | 1.º de maio de 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) - Atualização em uma política existente | 11 | Adicione permissões `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy`. | 1º de dezembro de 2021 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 21 | Adicione `sns:Publish` permissões para endpoints com a inferência assíncrona ativada. | 8 de setembro de 2021 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 20 | Atualize recursos e permissões de `iam:PassRole`. | 15 de julho de 2021 |
| AmazonSageMakerReadOnly - Atualização de uma política existente | 10 | Nova API `BatchGetRecord` adicionada à SageMaker AI Feature Store. | 10 de junho de 2021 |
| | | SageMaker A IA começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 1º de junho de 2021 |