Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Verwaltete Richtlinien für SageMaker Notebooks
Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von SageMaker Notebooks erforderlich sind. Die Richtlinien sind in Ihrem AWS Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker AI-Konsole erstellt wurden.
**Topics**
+ [AWS verwaltete Richtlinie: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS verwaltete Richtlinie: AmazonSageMakerNotebooksServiceRolePolicy
Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von Amazon SageMaker Notebooks benötigt werden. Die Richtlinie wird zu der Richtlinie hinzugefügt`AWSServiceRoleForAmazonSageMakerNotebooks`, die beim Onboarding von Amazon SageMaker Studio Classic erstellt wurde. Weitere Informationen zu dienstgebundenen Rollen finden Sie unter [Service-verknüpfte Rollen](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Weitere Informationen finden Sie unter [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `elasticfilesystem` – Ermöglicht Prinzipalen das Erstellen und Löschen von Amazon Elastic File System (EFS) -Dateisystemen, Access Points und Mount-Zielen. Diese sind auf diejenigen beschränkt, die mit dem Schlüssel gekennzeichnet sind *ManagedByAmazonSageMakerResource*. Ermöglicht Prinzipalen die Beschreibung aller EFS-Dateisysteme, Access Points und Mount-Ziele. Ermöglicht Prinzipalen, Tags für EFS-Zugriffspunkte und Mount-Ziele zu erstellen oder zu überschreiben.
+ `ec2` – Ermöglicht Prinzipalen das Erstellen von Netzwerkschnittstellen und Sicherheitsgruppen für Amazon Elastic Compute Cloud (EC2)-Instances. Außerdem können Prinzipale Tags für diese Ressourcen erstellen und überschreiben.
+ `sso` – Ermöglicht Prinzipalen das Hinzufügen und Löschen von verwalteten Anwendungs-Instances zu AWS IAM Identity Center.
+ `sagemaker`— Ermöglicht Prinzipalen das Erstellen und Lesen von SageMaker KI-Benutzerprofilen und SageMaker KI-Bereichen, das Löschen von SageMaker KI-Bereichen und SageMaker KI-Apps sowie das Hinzufügen und Auflisten von Tags.
+ `fsx`— Ermöglicht Prinzipalen, das Amazon FSx for Lustre-Dateisystem zu beschreiben und die Metadaten zu verwenden, um es auf dem Notebook zu mounten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker AI Notebooks
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon SageMaker AI an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.
| Richtlinie | Version | Änderungen | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | 10 | `fsx:DescribeFileSystems` Berechtigung hinzufügen. | 14. November 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | 9 | `sagemaker:DeleteApp` Berechtigung hinzufügen. | 24. Juli 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie | 8 | Fügen Sie `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` und `sagemaker:AddTags` Berechtigungen hinzu. | 22. Mai 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie | 7 | `elasticfilesystem:TagResource` Berechtigung hinzufügen. | 9. März 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aktualisierung einer bestehenden Richtlinie | 6 | Fügen Sie `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` und `elasticfilesystem:DescribeAccessPoints` Berechtigungen hinzu. | 12. Januar 2023 |
| | | SageMaker AI hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 1. Juni 2021 |