Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS políticas gestionadas para Amazon SageMaker AI
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) a las que se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
**importante**
Se recomienda utilizar la política más restringida que le permita llevar a cabo su caso de uso.
Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios de su cuenta, son específicas de Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Otorga acceso completo a los recursos geoespaciales de Amazon SageMaker SageMaker AI y AI y a las operaciones compatibles. No proporciona acceso ilimitado a Amazon S3, pero admite buckets y objetos con etiquetas de `sagemaker` específicas. Esta política permite transferir todas las funciones de IAM a Amazon SageMaker AI, pero solo permite que las funciones de IAM que contengan AmazonSageMaker «» se transfieran a los AWS Glue servicios AWS Step Functions y AWS RoboMaker .
+ **`AmazonSageMakerReadOnly`**— Otorga acceso de solo lectura a los recursos de Amazon SageMaker AI.
Las siguientes políticas AWS gestionadas se pueden adjuntar a los usuarios de su cuenta, pero no se recomiendan:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator): concede todas las acciones para todos los servicios de AWS y para todos los recursos en la cuenta.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist): concede una amplia gama de permisos para cubrir la mayoría de los casos de uso (principalmente para la inteligencia empresarial y el análisis) que detectan los analizadores de datos.
Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y búsquelas.
También puedes crear tus propias políticas de IAM personalizadas para permitir permisos para las acciones y los recursos de Amazon SageMaker AI cuando los necesites. Puede asociar estas políticas personalizadas a los usuarios o grupos de que las requieran.
**Topics**
+ [AWS política gestionada: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS política gestionada: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS políticas gestionadas para Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS políticas gestionadas para Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS políticas gestionadas para Amazon SageMaker geospatial](security-iam-awsmanpol-geospatial.md)
+ [AWS Políticas gestionadas para Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS políticas gestionadas para Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Políticas gestionadas para la gobernanza de los modelos de SageMaker IA](security-iam-awsmanpol-governance.md)
+ [AWS Políticas gestionadas para el registro de modelos](security-iam-awsmanpol-model-registry.md)
+ [AWS Políticas gestionadas para SageMaker ordenadores portátiles](security-iam-awsmanpol-notebooks.md)
+ [AWS políticas gestionadas para Amazon SageMaker Partner AI Apps](security-iam-awsmanpol-partner-apps.md)
+ [AWS Políticas gestionadas para SageMaker oleoductos](security-iam-awsmanpol-pipelines.md)
+ [AWS políticas gestionadas para planes SageMaker de formación](security-iam-awsmanpol-training-plan.md)
+ [AWS Políticas gestionadas para SageMaker proyectos y JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker Actualizaciones de IA de las políticas AWS gestionadas](#security-iam-awsmanpol-updates)
## AWS política gestionada: AmazonSageMakerFullAccess
Esta política otorga permisos administrativos que permiten a los principales acceder plenamente a todos los recursos y operaciones geoespaciales de Amazon SageMaker SageMaker AI y AI. La política también brinda acceso selecto a los servicios relacionados. Esta política permite transferir todas las funciones de IAM a Amazon SageMaker AI, pero solo permite que las funciones de IAM que contengan AmazonSageMaker «» se transfieran a los AWS Glue servicios AWS Step Functions y AWS RoboMaker . Esta política no incluye los permisos para crear un dominio de Amazon SageMaker AI. Para obtener información sobre la política necesaria para crear un dominio, consulte [Complete los requisitos previos de Amazon SageMaker AI](gs-set-up.md).
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `application-autoscaling`— Permite a los directores escalar automáticamente un punto final de inferencia de SageMaker IA en tiempo real.
+ `athena`— Permite a los directores consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desde. Amazon Athena
+ `aws-marketplace`— Permite a los directores ver las suscripciones de AWS AI Marketplace. Lo necesitas si quieres acceder al software de SageMaker IA al que estás suscrito. AWS Marketplace
+ `cloudformation`— Permite a los directores obtener AWS CloudFormation plantillas para usar JumpStart soluciones y canalizaciones de SageMaker IA. SageMaker La IA JumpStart crea los recursos necesarios para ejecutar soluciones end-to-end de aprendizaje automático que vinculan la SageMaker IA a otros AWS servicios. SageMaker AI Pipelines crea nuevos proyectos respaldados por Service Catalog.
+ `cloudwatch`— Permite a los directores publicar CloudWatch métricas, interactuar con las alarmas y cargar registros en los registros de su cuenta. CloudWatch
+ `codebuild`— Permite a los directores almacenar AWS CodeBuild artefactos para proyectos y proyectos de SageMaker IA.
+ `codecommit`— Necesario para AWS CodeCommit la integración con instancias de cuadernos de SageMaker IA.
+ `cognito-idp`— Necesario para que Amazon SageMaker Ground Truth defina la fuerza laboral privada y los equipos de trabajo.
+ `ec2`— Necesario para que la SageMaker IA gestione los recursos y las interfaces de red de Amazon EC2 al especificar una Amazon VPC para sus trabajos, modelos, puntos de conexión e instancias de notebook de SageMaker IA.
+ `ecr`— Necesario para extraer y almacenar artefactos de Docker para Amazon SageMaker Studio Classic (imágenes personalizadas), entrenamiento, procesamiento, inferencia por lotes y puntos finales de inferencia. Esto también es necesario para usar tu propio contenedor en IA. SageMaker Se requieren permisos adicionales para JumpStart las soluciones de SageMaker IA para crear y eliminar imágenes personalizadas en nombre de los usuarios.
+ `elasticfilesystem`: permite a las entidades principales acceder a Amazon Elastic File System. Esto es necesario para que la SageMaker IA utilice las fuentes de datos de Amazon Elastic File System para entrenar modelos de aprendizaje automático.
+ `fsx`— Permite a los directores acceder a Amazon FSx. Esto es necesario para que la SageMaker IA utilice las fuentes de datos de Amazon FSx para entrenar modelos de aprendizaje automático.
+ `glue`— Necesario para el procesamiento previo del proceso de inferencia desde instancias de cuadernos de SageMaker IA.
+ `groundtruthlabeling`: se requiere para los trabajos de etiquetado de Ground Truth. Se accede al punto de conexión `groundtruthlabeling` mediante la consola de Ground Truth.
+ `iam`— Necesario para permitir a la consola de SageMaker IA acceder a las funciones de IAM disponibles y crear funciones vinculadas a servicios.
+ `kms`— Necesario para permitir a la consola de SageMaker IA acceder a AWS KMS las claves disponibles y recuperarlas para cualquier AWS KMS alias específico en las tareas y los puntos finales.
+ `lambda`: permite a las entidades principales invocar y obtener una lista de funciones de AWS Lambda .
+ `logs`— Necesario para permitir que los trabajos y puntos finales de SageMaker IA publiquen flujos de registro.
+ `redshift`: permite a las entidades principales acceder a las credenciales del clúster de Amazon Redshift.
+ `redshift-data`: permite a las entidades principales utilizar los datos de Amazon Redshift para ejecutar, describir y cancelar instrucciones; obtener los resultados de instrucciones; y enumerar esquemas y tablas.
+ `robomaker`— Permite a los directores tener acceso completo para crear, obtener descripciones y eliminar aplicaciones y trabajos de AWS RoboMaker simulación. También se requiere para ejecutar ejemplos de aprendizaje por refuerzo en instancias de cuadernos.
+ `s3, s3express`— Permite a los directores tener acceso completo a los recursos de Amazon S3 y Amazon S3 Express relacionados con la SageMaker IA, pero no a todos los de Amazon S3 o Amazon S3 Express.
+ `sagemaker`— Permite a los directores enumerar etiquetas en los perfiles de usuario de SageMaker IA y añadir etiquetas a aplicaciones y espacios de SageMaker IA. Solo permite el acceso a las definiciones de sagemaker relacionadas con el flujo de SageMaker IA: WorkteamType «private-crowd» o «vendor-crowd». Permite utilizar y describir los planes de formación en SageMaker IA y la capacidad reservada en tareas de formación y SageMaker HyperPod agrupaciones en todas las AWS regiones en las que se pueda acceder a la función de planes de SageMaker formación.
+ `sagemaker`y`sagemaker-geospatial`: permite a los directores acceder de solo lectura a los dominios y perfiles de usuario de la SageMaker IA.
+ `secretsmanager`: permite a las entidades principales obtener acceso completo a AWS Secrets Manager. Las entidades principales le ayudan a cifrar, almacenar y recuperar de forma segura las credenciales de las bases de datos y otros servicios. Esto también es necesario para las instancias de cuadernos de SageMaker IA con los repositorios de código de SageMaker IA que utilizan. GitHub
+ `servicecatalog`: permite a las entidades principales utilizar Service Catalog. Los directores pueden crear, obtener una lista, actualizar o cancelar los productos aprovisionados, como servidores, bases de datos, sitios web o aplicaciones desplegados mediante recursos. AWS Esto es necesario para que SageMaker AI JumpStart y Projects encuentren y lean los productos del catálogo de servicios y ofrezcan AWS recursos a los usuarios.
+ `sns`: permite a las entidades principales consultar una lista de temas de Amazon SNS. Se requiere para los puntos de conexión con inferencia asíncrona habilitada para notificar a los usuarios que su inferencia se ha completado.
+ `states`— Es necesario para que SageMaker AI JumpStart y Pipelines utilicen un catálogo de servicios para crear recursos de funciones escalonadas.
+ `tag`— Necesario para que SageMaker AI Pipelines se renderice en Studio Classic. Studio Classic requiere que los recursos estén etiquetados con una clave de etiqueta `sagemaker:project-id` determinada. Esto requiere el permiso `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AmazonSageMakerReadOnly
Esta política otorga acceso de solo lectura a Amazon SageMaker AI a través del SDK Consola de administración de AWS y.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `application-autoscaling`— Permite a los usuarios consultar las descripciones de los puntos finales de inferencia escalables de la SageMaker IA en tiempo real.
+ `aws-marketplace`— Permite a los usuarios ver las suscripciones de AWS AI Marketplace.
+ `cloudwatch`— Permite a los usuarios recibir CloudWatch alarmas.
+ `cognito-idp`— Necesario para que Amazon SageMaker Ground Truth explore las descripciones y listas de personal y equipos de trabajo privados.
+ `ecr`: se requiere para leer artefactos de Docker para el entrenamiento y la inferencia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
## SageMaker Actualizaciones de IA de las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas para la SageMaker IA desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess): actualización de una política existente | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 de diciembre de 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess): actualización de una política existente | 26 | Se agregó el permiso `sagemaker:AddTags`. | 29 de marzo de 2024 |
| AmazonSageMakerFullAccess - Actualización de una política existente | 25 | Se han añadido los permisos `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` y `s3express:ListAllMyDirectoryBuckets`. | 30 de noviembre de 2023 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 24 | Se agregaron los permisos `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` y `sagemaker:ListSpaces`. | 30 de noviembre de 2022 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 23 | Añada `glue:UpdateTable`. | 29 de junio de 2022 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 22 | Añada `cloudformation:ListStackResources`. | 1 de mayo de 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly): actualización de una política existente | 11 | Se agregaron los permisos `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy`. | 1 de diciembre de 2021 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 21 | Se agregaron los permisos `sns:Publish` para los puntos de conexión con la inferencia asíncrona habilitada. | 8 de septiembre de 2021 |
| AmazonSageMakerFullAccess - Actualización a una política existente | 20 | Se actualizaron los recursos y los permisos de `iam:PassRole`. | 15 de julio de 2021 |
| AmazonSageMakerReadOnly - Actualización a una política existente | 10 | `BatchGetRecord`Se agregó una nueva API para SageMaker AI Feature Store. | 10 de junio de 2021 |
| | | SageMaker AI comenzó a rastrear los cambios en sus políticas AWS gestionadas. | 1 de junio de 2021 |