Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Políticas gestionadas para el registro de modelos
<a name="security-iam-awsmanpol-model-registry"></a>

Estas políticas AWS administradas agregan los permisos necesarios para usar Model Registry. Las políticas están disponibles en su AWS cuenta y las utilizan los roles de ejecución creados desde la consola Amazon SageMaker AI.

**Topics**
+ [AWS política gestionada: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Amazon SageMaker AI actualiza las políticas gestionadas de Model Registry](#security-iam-awsmanpol-model-registry-updates)

## AWS política gestionada: AmazonSageMakerModelRegistryFullAccess
<a name="security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess"></a>

Esta política AWS gestionada concede los permisos necesarios para utilizar todas las funciones de Model Registry dentro de un dominio de Amazon SageMaker AI. Esta política se asocia a un rol de ejecución al configurar los ajustes del registro de modelos para habilitar los permisos del registro de modelos.

Esta política incluye los siguientes permisos.
+ `ecr`: permite a las entidades principales recuperar información, incluidos metadatos, sobre imágenes de Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Permite a los directores transferir la función de ejecución al servicio Amazon SageMaker AI.
+ `resource-groups`— Permite a los directores crear, enumerar, etiquetar y eliminar. Grupos de recursos de AWS
+ `s3`: permite a las entidades principales recuperar objetos de los buckets de Amazon Simple Storage Service (Amazon S3) en los que se almacenan las versiones del modelo. Los objetos recuperables se limitan a aquellos cuyo nombre, sin distinción entre mayúsculas y minúsculas, contenga la cadena `"sagemaker"`.
+ `sagemaker`— Permite a los directores catalogar, gestionar e implementar modelos mediante el Registro de SageMaker modelos.
+ `kms`— Permite que solo el director del servicio de SageMaker IA añada una subvención, genere claves de datos, descifre y lea AWS KMS claves, y solo las claves que estén etiquetadas para ser utilizadas por «sagemaker».

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:ListAssociations",
        "sagemaker:ListArtifacts",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackages",
        "sagemaker:Search",
        "sagemaker:GetSearchSuggestions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteTags",
        "sagemaker:UpdateModelPackage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3GetPermission",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3ListPermission",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryECRReadPermission",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchGetImage",
        "ecr:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryTagReadPermission",
      "Effect": "Allow",
      "Action": [
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:GetGroupQuery"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:ListGroupResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:CreateGroup",
        "resource-groups:Tag"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": "sagemaker:collection"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
      "Effect": "Allow",
      "Action": "resource-groups:DeleteGroup",
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker:collection": "true"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:*:*:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker" : "true"
        },
        "StringLike": {
          "kms:ViaService": "sagemaker.*.amazonaws.com"
        }
      }
    }
  ]
}
```

------

## Amazon SageMaker AI actualiza las políticas gestionadas de Model Registry
<a name="security-iam-awsmanpol-model-registry-updates"></a>

Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Model Registry desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la [página del historial de documentos de SageMaker AI.](doc-history.md)


| Política | Versión | Cambio | Date | 
| --- | --- | --- | --- | 
|  [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess): actualización de una política existente | 2 |  Se han añadido los permisos `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` y `kms:Decrypt`.  | 6 de junio de 2024 | 
| AmazonSageMakerModelRegistryFullAccess - Nueva política | 1 |  Política inicial  | 12 de abril de 2023 |