Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS politiques gérées pour Amazon SageMaker AI
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonction est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique `ReadOnlyAccess` AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
**Important**
Nous vous recommandons d’utiliser la politique la plus restreinte qui vous permet d’effectuer votre cas d’utilisation.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à Amazon SageMaker AI :
+ **`AmazonSageMakerFullAccess`**— Accorde un accès complet à Amazon SageMaker AI et aux ressources géospatiales de l' SageMaker IA ainsi qu'aux opérations prises en charge. Cela ne fournit pas un accès illimité à Amazon S3, mais prend en charge les compartimentset les objets avec des balises `sagemaker` spécifiques. Cette politique permet de transmettre tous les rôles IAM à Amazon SageMaker AI, mais uniquement les rôles IAM contenant AmazonSageMaker « » à être transmis aux services AWS Glue AWS Step Functions, et AWS RoboMaker .
+ **`AmazonSageMakerReadOnly`**— Accorde un accès en lecture seule aux ressources Amazon SageMaker AI.
Les politiques AWS gérées suivantes peuvent être associées aux utilisateurs de votre compte, mais elles ne sont pas recommandées :
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) : accorde toutes les actions pour l'ensemble des services AWS et des ressources du compte.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist) : accorde une large gamme d'autorisations pour couvrir la plupart des cas d'utilisation (principalement à des fins d'analytique et de business intelligence (BI)) rencontrés par les scientifiques des données.
Vous pouvez consulter ces politiques d’autorisations en vous connectant à la console IAM et en les recherchant.
Vous pouvez également créer vos propres politiques IAM personnalisées pour autoriser les actions et les ressources Amazon SageMaker AI selon vos besoins. Vous pouvez attacher ces stratégies personnalisées aux utilisateurs ou groupes qui les nécessitent.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerFullAccess
](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [
## AWS politique gérée : AmazonSageMakerReadOnly
](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [
# AWS politiques gérées pour Amazon SageMaker Canvas
](security-iam-awsmanpol-canvas.md)
+ [
# AWS politiques gérées pour Amazon SageMaker Feature Store
](security-iam-awsmanpol-feature-store.md)
+ [
# AWS politiques gérées pour Amazon SageMaker Geospatial
](security-iam-awsmanpol-geospatial.md)
+ [
# AWS Politiques gérées pour Amazon SageMaker Ground Truth
](security-iam-awsmanpol-ground-truth.md)
+ [
# AWS politiques gérées pour Amazon SageMaker HyperPod
](security-iam-awsmanpol-hyperpod.md)
+ [
# AWS Politiques gérées pour la gouvernance des modèles d' SageMaker IA
](security-iam-awsmanpol-governance.md)
+ [
# AWS Politiques gérées pour le registre des modèles
](security-iam-awsmanpol-model-registry.md)
+ [
# AWS Politiques gérées pour les SageMaker ordinateurs portables
](security-iam-awsmanpol-notebooks.md)
+ [
# AWS politiques gérées pour les applications Amazon SageMaker Partner AI
](security-iam-awsmanpol-partner-apps.md)
+ [
# AWS Politiques gérées pour les SageMaker pipelines
](security-iam-awsmanpol-pipelines.md)
+ [
# AWS politiques gérées pour les plans SageMaker de formation
](security-iam-awsmanpol-training-plan.md)
+ [
# AWS Politiques gérées pour les SageMaker projets et JumpStart
](security-iam-awsmanpol-sc.md)
+ [
## SageMaker Mises à jour des politiques AWS gérées par l'IA
](#security-iam-awsmanpol-updates)
## AWS politique gérée : AmazonSageMakerFullAccess
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les ressources et opérations géospatiales Amazon SageMaker SageMaker AI et AI. La politique fournit également un accès sélectif aux services connexes. Cette politique permet de transmettre tous les rôles IAM à Amazon SageMaker AI, mais uniquement les rôles IAM contenant AmazonSageMaker « » à être transmis aux services AWS Glue AWS Step Functions, et AWS RoboMaker . Cette politique n'inclut pas les autorisations permettant de créer un domaine Amazon SageMaker AI. Pour plus d’informations sur la politique nécessaire à la création d’un domaine, consultez [Compléter les prérequis SageMaker relatifs à Amazon AI](gs-set-up.md).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `application-autoscaling`— Permet aux principaux de dimensionner automatiquement un point de terminaison d'inférence en temps réel basé sur l' SageMaker IA.
+ `athena`— Permet aux principaux d'interroger une liste de catalogues de données, de bases de données et de métadonnées de tables à partir de celles-ci. Amazon Athena
+ `aws-marketplace`— Permet aux clients principaux de consulter les abonnements à AWS AI Marketplace. Vous en avez besoin si vous souhaitez accéder à un logiciel d' SageMaker IA auquel vous êtes abonné AWS Marketplace.
+ `cloudformation`— Permet aux directeurs d'obtenir des AWS CloudFormation modèles pour utiliser les JumpStart solutions d' SageMaker IA et les pipelines. SageMaker L'IA JumpStart crée les ressources nécessaires pour exécuter des solutions d'apprentissage end-to-end automatique qui relient l' SageMaker IA à d'autres AWS services. SageMaker AI Pipelines crée de nouveaux projets soutenus par Service Catalog.
+ `cloudwatch`— Permet aux directeurs de publier des CloudWatch statistiques, d'interagir avec les alarmes et de télécharger des journaux dans les CloudWatch journaux de votre compte.
+ `codebuild`— Permet aux directeurs de stocker des AWS CodeBuild artefacts pour le pipeline et les projets d' SageMaker IA.
+ `codecommit`— Nécessaire pour AWS CodeCommit l'intégration avec les instances de blocs-notes SageMaker AI.
+ `cognito-idp`— Nécessaire à Amazon SageMaker Ground Truth pour définir la main-d'œuvre privée et les équipes de travail.
+ `ec2`— Nécessaire à l' SageMaker IA pour gérer les ressources et les interfaces réseau Amazon EC2 lorsque vous spécifiez un Amazon VPC pour vos tâches, modèles, points de terminaison et instances de bloc-notes d' SageMaker IA.
+ `ecr`— Nécessaire pour extraire et stocker des artefacts Docker pour Amazon SageMaker Studio Classic (images personnalisées), la formation, le traitement, l'inférence par lots et les points de terminaison d'inférence. Cela est également nécessaire pour utiliser votre propre conteneur dans SageMaker AI. Des autorisations supplémentaires pour les JumpStart solutions d' SageMaker intelligence artificielle sont nécessaires pour créer et supprimer des images personnalisées au nom des utilisateurs.
+ `elasticfilesystem` : permet aux mandataires d’accéder à Amazon Elastic File System. Cela est nécessaire pour que l' SageMaker IA puisse utiliser les sources de données d'Amazon Elastic File System pour entraîner des modèles de machine learning.
+ `fsx`— Permet aux directeurs d'accéder à Amazon FSx. Cela est nécessaire pour que l' SageMaker IA puisse utiliser les sources de données d'Amazon FSx pour entraîner des modèles d'apprentissage automatique.
+ `glue`— Nécessaire pour le prétraitement du pipeline d'inférence à partir d'instances de blocs-notes SageMaker AI.
+ `groundtruthlabeling` : nécessaire pour les tâches d’étiquetage Ground Truth. Le point de terminaison `groundtruthlabeling` est accessible par la console Ground Truth.
+ `iam`— Nécessaire pour permettre à la console SageMaker AI d'accéder aux rôles IAM disponibles et créer des rôles liés aux services.
+ `kms`— Nécessaire pour donner à la console SageMaker AI accès aux AWS KMS clés disponibles et les récupérer pour tous les AWS KMS alias spécifiés dans les tâches et les points de terminaison.
+ `lambda` : permet aux mandataires d’invoquer et d’obtenir une liste de fonctions AWS Lambda .
+ `logs`— Nécessaire pour permettre aux tâches et aux terminaux d' SageMaker IA de publier des flux de journaux.
+ `redshift` : permet aux mandataires d’accéder aux informations d’identification du cluster Amazon Redshift.
+ `redshift-data` – Permet aux mandataires d'utiliser les données d'Amazon Redshift pour exécuter, décrire et annuler des instructions, obtenir les résultats d'instructions et répertorier les schémas et les tables.
+ `robomaker`— Permet aux principaux d'avoir un accès complet pour créer, obtenir des descriptions et supprimer des applications et des tâches de AWS RoboMaker simulation. Ceci est également nécessaire pour exécuter des exemples d’apprentissage par renforcement sur des instances de bloc-notes.
+ `s3, s3express`— Permet aux principaux d'avoir un accès complet aux ressources Amazon S3 et Amazon S3 Express relatives à l' SageMaker IA, mais pas à la totalité d'Amazon S3 ou Amazon S3 Express.
+ `sagemaker`— Permet aux principaux de répertorier les balises sur les profils utilisateurs de l' SageMaker IA et d'ajouter des balises aux applications et aux espaces d' SageMaker IA. Permet d'accéder uniquement aux définitions des flux d' SageMaker IA de Sagemaker : WorkteamType « private-crowd » ou « vendor-crowd ». Permet l'utilisation et la description des plans de formation liés à l' SageMaker IA et des capacités réservées dans les postes de SageMaker formation et les SageMaker HyperPod clusters, dans toutes les AWS régions où la fonctionnalité des plans de formation est accessible.
+ `sagemaker`et `sagemaker-geospatial` — Permet aux principaux d'accéder en lecture seule aux domaines SageMaker AI et aux profils d'utilisateurs.
+ `secretsmanager` : permet aux mandataires d’avoir un accès complet à AWS Secrets Manager. Les mandataires peuvent chiffrer, stocker et récupérer en toute sécurité des informations d’identification pour les bases de données et d’autres services. Cela est également nécessaire pour les instances de blocs-notes SageMaker SageMaker AI avec des référentiels de code AI qui les utilisent GitHub.
+ `servicecatalog` : permet aux principaux d’utiliser Service Catalog. Les principaux peuvent créer, obtenir une liste, mettre à jour ou résilier des produits provisionnés, tels que des serveurs, des bases de données, des sites Web ou des applications déployées à l'aide AWS de ressources. Cela est nécessaire pour que l' SageMaker IA JumpStart et les projets puissent trouver et lire les produits du catalogue de services et lancer AWS des ressources auprès des utilisateurs.
+ `sns` : permet aux mandataires d’obtenir une liste de rubriques Amazon SNS. Nécessaire pour les points de terminaison dont l’inférence asynchrone est activée pour informer les utilisateurs que leur inférence est terminée.
+ `states`— Nécessaire à SageMaker l'IA JumpStart et aux pipelines pour utiliser un catalogue de services pour créer des ressources de fonctions par étapes.
+ `tag`— Nécessaire au rendu de SageMaker AI Pipelines dans Studio Classic. Studio Classic a besoin de ressources balisées avec une clé-balise `sagemaker:project-id` particulière. Cela nécessite l’autorisation `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerReadOnly
Cette politique accorde un accès en lecture seule à Amazon SageMaker AI via le SDK AWS Management Console and.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `application-autoscaling`— Permet aux utilisateurs de parcourir les descriptions des points de terminaison d'inférence en temps réel évolutifs de l' SageMaker IA.
+ `aws-marketplace`— Permet aux utilisateurs de consulter les abonnements à AWS AI Marketplace.
+ `cloudwatch`— Permet aux utilisateurs de recevoir des CloudWatch alarmes.
+ `cognito-idp`— Nécessaire à Amazon SageMaker Ground Truth pour parcourir les descriptions et les listes des employés du secteur privé et des équipes de travail.
+ `ecr` : nécessaire pour lire les artefacts Docker d’entraînement et d’inférence.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS politiques gérées pour Amazon SageMaker Canvas
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Amazon SageMaker Canvas. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerCanvasFullAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [
## AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [
## AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [
## AWS politique gérée : AmazonSageMakerCanvas AIServices Accès
](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [
## AWS politique gérée : AmazonSageMakerCanvasBedrockAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [
## AWS politique gérée : AmazonSageMakerCanvasForecastAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [
## AWS politique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [
## AWS politique gérée : AmazonSageMakerCanvas SMData ScienceAssistantAccess
](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Canvas
](#security-iam-awsmanpol-canvas-updates)
## AWS politique gérée : AmazonSageMakerCanvasFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à Amazon SageMaker Canvas via le SDK AWS Management Console and. La politique fournit également un accès restreint aux services connexes [par exemple, Amazon Simple Storage Service (Amazon S3), (IAM) Gestion des identités et des accès AWS , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon Autopilot, Model Registry, Amazon [ AWS Secrets Manager Amazon Forecast SageMaker ]. SageMaker
Cette politique vise à aider les clients à expérimenter et à démarrer avec toutes les fonctionnalités de SageMaker Canvas. Pour un contrôle plus précis, nous suggérons aux clients de créer leurs propres versions délimitées lorsqu'ils passent aux charges de travail de production. Pour plus d'informations, consultez [Types de politiques IAM : comment et quand les utiliser](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/) (langue française non garantie).
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker`— Permet aux directeurs de créer et d'héberger des modèles d' SageMaker IA sur des ressources dont l'ARN contient « Canvas », « canvas » ou « model-compilation- ». De plus, les utilisateurs peuvent enregistrer leur modèle SageMaker Canvas dans SageMaker AI Model Registry sur le même AWS compte. Permet également aux directeurs de créer et de gérer des tâches de SageMaker formation, de transformation et d'AutoML.
+ `application-autoscaling`— Permet aux principaux de redimensionner automatiquement un point de terminaison d'inférence SageMaker basé sur l'IA.
+ `athena` : autorise les principaux à interroger une liste de catalogues de données, de bases de données et de métadonnées de table à partir d’Amazon Athena, et à accéder aux tables dans les catalogues.
+ `cloudwatch`— Permet aux directeurs de créer et de gérer les CloudWatch alarmes Amazon.
+ `ec2` : autorise les principaux à créer des points de terminaison Amazon VPC.
+ `ecr` : autorise les principaux à obtenir des informations sur une image de conteneur.
+ `emr-serverless` : autorise les principaux à créer et à gérer des applications et des exécutions de tâches Amazon EMR sans serveur. Permet également aux principaux de baliser les ressources SageMaker Canvas.
+ `forecast` : autorise les principaux à utiliser Amazon Forecast.
+ `glue`— Permet aux principaux de récupérer les tables, les bases de données et les partitions du AWS Glue catalogue.
+ `iam`— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker AI, Amazon Forecast et Amazon EMR Serverless. Autorise également les principaux à créer un rôle lié à un service.
+ `kms`— Permet aux principaux de lire une AWS KMS clé étiquetée avec`Source:SageMakerCanvas`.
+ `logs` : autorise les principaux à publier des journaux à partir des tâches d’entraînement et des points de terminaison.
+ `quicksight`— Permet aux principaux de répertorier les espaces de noms dans le compte Quick.
+ `rds` : permet aux principaux de renvoyer des informations sur les instances Amazon RDS provisionnées.
+ `redshift` : permet aux principaux d’obtenir les informations d’identification d’un utilisateur dbuser « sagemaker\$1access\$1 » sur n’importe quel cluster Amazon Redshift si cet utilisateur existe.
+ `redshift-data` : permet aux principaux d'exécuter des requêtes sur Amazon Redshift à l'aide de l'API de données Amazon Redshift. Cela donne uniquement accès aux données Redshift APIs elles-mêmes et ne donne pas directement accès à vos clusters Amazon Redshift. Pour plus d’informations, consultez la section [Utilisation de l’API de données Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut SageMaker « », « Sagemaker » ou « Sagemaker ». Permet également aux principaux de récupérer des objets dans des compartiments Amazon S3 dont l'ARN commence par « jumpstart-cache-prod - » dans des régions spécifiques.
+ `secretsmanager` : autorise les principaux à stocker les informations d’identification des clients pour se connecter à une base de données Snowflake à l’aide de Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politique gérée : AmazonSageMakerCanvasDataPrepFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à la fonctionnalité de préparation des données d'Amazon SageMaker Canvas. La politique prévoit également des autorisations de moindre privilège pour les services intégrés à la fonctionnalité de préparation des données [par exemple, Amazon Simple Storage Service (Amazon S3) Gestion des identités et des accès AWS , (IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, () et]. AWS Key Management Service AWS KMS AWS Secrets Manager
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker` : autorise les principaux à accéder aux tâches de traitement, aux tâches d’entraînement, aux pipelines d’inférence, aux tâches AutoML et aux groupes de caractéristiques.
+ `athena` : autorise les principaux à interroger une liste de catalogues de données, de bases de données et de métadonnées de table à partir d’Amazon Athena.
+ `elasticmapreduce` : autorise les principaux à lire et à répertorier les clusters Amazon EMR.
+ `emr-serverless` : autorise les principaux à créer et à gérer des applications et des exécutions de tâches Amazon EMR sans serveur. Permet également aux principaux de baliser les ressources SageMaker Canvas.
+ `events`— Permet aux directeurs de créer, de lire, de mettre à jour et d'ajouter des cibles aux EventBridge règles Amazon pour les tâches planifiées.
+ `glue`— Permet aux principaux d'obtenir et de rechercher des tables dans les bases de données du AWS Glue catalogue.
+ `iam`— Permet aux principaux de transmettre un rôle IAM à Amazon SageMaker AI et à Amazon EMR Serverless. EventBridge Autorise également les principaux à créer un rôle lié à un service.
+ `kms`— Permet aux principaux de récupérer les AWS KMS alias stockés dans les tâches et les points de terminaison, et d'accéder à la clé KMS associée.
+ `logs` : autorise les principaux à publier des journaux à partir des tâches d’entraînement et des points de terminaison.
+ `redshift` : autorise les principaux à obtenir les informations d’identification pour accéder à une base de données Amazon Redshift.
+ `redshift-data` : autorise les principaux à exécuter, à annuler, à décrire, à répertorier et à obtenir les résultats des requêtes Amazon Redshift. Autorise également les principaux à répertorier les schémas et les tables Amazon Redshift.
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « », SageMaker « Sagemaker » ou « Sagemaker » ; ou ceux marqués d'un « », sans distinction SageMaker majuscules/minuscules.
+ `secretsmanager` : autorise les principaux à stocker et à extraire les informations d’identification de base de données client à l’aide de Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politique gérée : AmazonSageMakerCanvasDirectDeployAccess
Cette politique accorde les autorisations nécessaires à Amazon SageMaker Canvas pour créer et gérer les points de terminaison Amazon SageMaker AI.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker`— Permet aux principaux de créer et de gérer des points de terminaison d' SageMaker IA avec un nom de ressource ARN commençant par « Canvas » ou « Canvas ».
+ `cloudwatch`— Permet aux principaux de récupérer les données CloudWatch métriques d'Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerCanvas AIServices Accès
Cette politique autorise Amazon SageMaker Canvas à utiliser Amazon Textract, Amazon Rekognition, Amazon Comprehend et Amazon Bedrock.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `textract` : permet aux principaux d'utiliser Amazon Textract pour détecter des documents, des dépenses et des identités dans une image.
+ `rekognition` : permet aux principaux d'utiliser Amazon Rekognition pour détecter des étiquettes et du texte dans une image.
+ `comprehend` : permet aux principaux d'utiliser Amazon Comprehend pour détecter les sentiments et la langue dominante, ainsi que les entités nommées et de données d'identification personnelle (PII) dans un document texte.
+ `bedrock` : permet aux principaux d’utiliser Amazon Bedrock pour répertorier et invoquer des modèles de fondation.
+ `iam` : autorise les principaux à transmettre un rôle IAM à Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS politique gérée : AmazonSageMakerCanvasBedrockAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Bedrock.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : autorise les principaux à ajouter et à récupérer des objets à partir de compartiments Amazon S3 dans le répertoire « sagemaker-\$1/Canvas ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerCanvasForecastAccess
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Canvas avec Amazon Forecast.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom commence par « sagemaker- ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Cette politique accorde des autorisations à Amazon EMR Serverless pour les AWS services, tels qu'Amazon S3, utilisés par Amazon SageMaker Canvas pour le traitement de données volumineuses.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom inclut « » SageMaker ou « sagemaker » ; ou ceux marqués d'un SageMaker « », sans distinction majuscules/majuscules.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerCanvas SMData ScienceAssistantAccess
Cette politique autorise les utilisateurs d'Amazon SageMaker Canvas à entamer des conversations avec Amazon Q Developer. Cette fonctionnalité nécessite des autorisations à la fois pour Amazon Q Developer et pour le service SageMaker AI Data Science Assistant.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `q` : autorise les principaux à envoyer des invites à Amazon Q Developer.
+ `sagemaker-data-science-assistant`— Permet aux directeurs d'envoyer des instructions au service SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Canvas
Consultez les détails des mises à jour des politiques AWS gérées pour SageMaker Canvas depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) : mise à jour d’une stratégie existante | 2 | Ajouter l’autorisation `q:StartConversation`. | 14 janvier 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) : nouvelle politique | 1 | Politique initiale | 4 décembre 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) : mise à jour d’une stratégie existante | 4 | Ajout d’une ressource à l’autorisation `IAMPassOperationForEMRServerless`. | 16 août 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) : mise à jour d’une stratégie existante | 11 | Ajout d’une ressource à l’autorisation `IAMPassOperationForEMRServerless`. | 15 août 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy) : nouvelle politique | 1 | Politique initiale | 26 juillet 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d’une stratégie existante | 3 | Ajout des autorisations `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` et `emr-serverless:TagResource`. | 18 juillet 2024 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 10 | Ajout des autorisations `application-autoscaling:DescribeScalingActivities`, `iam:PassRole`, `kms:DescribeKey` et `quicksight:ListNamespaces`. Ajout des autorisations `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` et `sagemaker:StopTransformJob`. Ajoutez les autorisations `athena:ListTableMetadata`, `athena:ListDataCatalogs` et `athena:ListDatabases`. Ajoutez les autorisations `glue:GetDatabases`, `glue:GetPartitions` et `glue:GetTables`. Ajout des autorisations `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` et `emr-serverless:TagResource`. | 9 juillet 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess) : nouvelle politique | 1 | Politique initiale | 2 février 2024 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 9 | Ajouter l’autorisation `sagemaker:ListEndpoints`. | 24 janvier 2024 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 8 | Ajout des autorisations `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` et `iam:CreateServiceLinkedRole`. | 8 décembre 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess : mise à jour d’une stratégie existante | 2 | Petite mise à jour pour appliquer les intentions de la politique précédente, version 1 ; aucune autorisation ajoutée ni supprimée. | 7 décembre 2023 |
| [AmazonSageMakerCanvasAIServicesAccès](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) : mise à jour d’une stratégie existante | 3 | Ajout des autorisations `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` et `iam:PassRole`. | 29 novembre 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Nouvelle politique | 1 | Politique initiale | 26 octobre 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess) : nouvelle politique | 1 | Politique initiale | 6 octobre 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 7 | Ajoutez les autorisations `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel` et `sagemaker:InvokeEndpoint`. Ajoutez également des `s3:GetObject` autorisations pour les JumpStart ressources dans des régions spécifiques. | 29 septembre 2023 |
| AmazonSageMakerCanvasAIServicesAccès - Mise à jour d'une politique existante | 2 | Ajoutez les autorisations `bedrock:InvokeModel` et `bedrock:ListFoundationModels`. | 29 septembre 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 6 | Ajouter l’autorisation `rds:DescribeDBInstances`. | 29 août 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 5 | Ajoutez les autorisations `application-autoscaling:PutScalingPolicy` et `application-autoscaling:RegisterScalableTarget`. | 24 juillet 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 4 | Ajoutez les autorisations `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages` et `sagemaker:ListModelPackageGroups`. | 4 mai 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 3 | Ajoutez les autorisations `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` et `glue:SearchTables`. | 24 mars 2023 |
| AmazonSageMakerCanvasAIServicesAccès - Nouvelle politique | 1 | Politique initiale | 23 mars 2023 |
| AmazonSageMakerCanvasFullAccess - Mise à jour d'une politique existante | 2 | Ajouter l'autorisation `forecast:DeleteResourceTree`. | 6 décembre 2022 |
| AmazonSageMakerCanvasFullAccess - Nouvelle politique | 1 | Politique initiale | 8 septembre 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess) : nouvelle politique | 1 | Politique initiale | 24 août 2022 |
# AWS politiques gérées pour Amazon SageMaker Feature Store
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Feature Store. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerFeatureStoreAccess
](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Feature Store
](#security-iam-awsmanpol-feature-store-updates)
## AWS politique gérée : AmazonSageMakerFeatureStoreAccess
Cette politique accorde les autorisations requises pour activer la boutique hors ligne pour un groupe de SageMaker fonctionnalités Amazon Feature Store.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : permet aux principaux d'écrire des données dans un compartiment Amazon S3 du magasin hors ligne. Ces seaux sont limités à ceux dont le nom inclut SageMaker « », « Sagemaker » ou « Sagemaker ».
+ `s3` : permet aux principaux de lire les fichiers manifestes existants conservés dans le dossier `metadata` d'un compartiment S3 de stockage hors ligne.
+ `glue`— Permet aux directeurs de lire et de mettre à jour les tables AWS Glue. Ces autorisations sont limitées aux tables du dossier `sagemaker_featurestore`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Feature Store
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour Feature Store depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) : mise à jour d’une stratégie existante | 3 | Ajoutez les autorisations `s3:GetObject`, `glue:GetTable` et `glue:UpdateTable`. | 5 décembre 2022 |
| AmazonSageMakerFeatureStoreAccess - Mise à jour d'une politique existante | 2 | Ajouter l'autorisation `s3:PutObjectAcl`. | 23 février 2021 |
| AmazonSageMakerFeatureStoreAccess - Nouvelle politique | 1 | Politique initiale | 1er décembre 2020 |
# AWS politiques gérées pour Amazon SageMaker Geospatial
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser la SageMaker géospatiale. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerGeospatialFullAccess
](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [
## AWS politique gérée : AmazonSageMakerGeospatialExecutionRole
](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Geospatial
](#security-iam-awsmanpol-geospatial-updates)
## AWS politique gérée : AmazonSageMakerGeospatialFullAccess
Cette politique accorde des autorisations qui permettent un accès complet à Amazon SageMaker Geospatial via le SDK AWS Management Console and.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker-geospatial`— Permet aux principaux un accès complet à toutes les ressources SageMaker géospatiales.
+ `iam`— Permet aux principaux de transmettre un rôle IAM à SageMaker Geospatial.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerGeospatialExecutionRole
Cette politique accorde les autorisations généralement nécessaires pour utiliser la SageMaker géospatiale.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom contient SageMaker « », « Sagemaker » ou « Sagemaker ».
+ `sagemaker-geospatial` : permet aux principaux d’accéder aux tâches d’observation de la Terre via l’API `GetEarthObservationJob`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Amazon SageMaker Geospatial
Consultez les détails des mises à jour des politiques AWS gérées pour le SageMaker géospatial depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole) : politique mise à jour | 2 | Ajouter l’autorisation `sagemaker-geospatial:GetRasterDataCollection`. | 10 mai 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess) : nouvelle politique | 1 | Politique initiale | 30 novembre 2022 |
| AmazonSageMakerGeospatialExecutionRole - Nouvelle politique | 1 | Politique initiale | 30 novembre 2022 |
# AWS Politiques gérées pour Amazon SageMaker Ground Truth
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser SageMaker AI Ground Truth. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerGroundTruthExecution
](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Ground Truth
](#security-iam-awsmanpol-groundtruth-updates)
## AWS politique gérée : AmazonSageMakerGroundTruthExecution
Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser SageMaker AI Ground Truth.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `lambda`— Permet aux principaux d'invoquer des fonctions Lambda dont le nom inclut « sagemaker » (sans distinction majuscules et minuscules), « » ou GtRecipe « ». LabelingFunction
+ `s3` : permet aux principaux d’ajouter et de récupérer des objets à partir de compartiments Amazon S3. Ces objets sont limités à ceux dont le nom ne distingue pas les majuscules et minuscules contient « groundtruth » ou « sagemaker », ou qui sont marqués d'un « ». SageMaker
+ `cloudwatch`— Permet aux directeurs de publier des CloudWatch métriques.
+ `logs` : permet aux principaux de créer des flux de journaux et d'y accéder, et de publier des événements de journal.
+ `sqs` : permet aux principaux de créer des files d'attente Amazon SQS, et d'envoyer et de recevoir des messages Amazon SQS. Ces autorisations sont limitées aux files d'attente dont le nom inclut « GroundTruth ».
+ `sns` : permet aux principaux de s’abonner à des rubriques et de publier des messages dans des rubriques Amazon SNS dont le nom insensible à la casse contient « groundtruth » ou « sagemaker ».
+ `ec2`— Permet aux principaux de créer, de décrire et de supprimer des points de terminaison Amazon VPC dont le nom de service de point de terminaison VPC sagemaker-task-resources contient « » ou « étiquetage ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Ground Truth
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI Ground Truth depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) : mise à jour d’une stratégie existante | 3 | Ajoutez les autorisations `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` et `ec2:DeleteVpcEndpoints`. | 29 avril 2022 |
| AmazonSageMakerGroundTruthExecution - Mise à jour d'une politique existante | 2 | Supprime l’autorisation `sqs:SendMessageBatch`. | 11 avril 2022 |
| AmazonSageMakerGroundTruthExecution - Nouvelle politique | 1 | Politique initiale | 20 juillet 2020 |
# AWS politiques gérées pour Amazon SageMaker HyperPod
Les politiques AWS gérées suivantes ajoutent les autorisations requises pour utiliser Amazon SageMaker HyperPod. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI ou du rôle HyperPod lié à un service.
**Topics**
+ [
# AWS politique gérée : AmazonSageMakerHyperPodTrainingOperatorAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [
# AWS politique gérée : AmazonSageMakerHyperPodObservabilityAdminAccess
](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [
# AWS politique gérée : AmazonSageMakerHyperPodServiceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [
# AWS politique gérée : AmazonSageMakerClusterInstanceRolePolicy
](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [
## Amazon SageMaker AI met à jour les politiques SageMaker HyperPod gérées
](#security-iam-awsmanpol-hyperpod-updates)
# AWS politique gérée : AmazonSageMakerHyperPodTrainingOperatorAccess
Cette politique fournit les autorisations administratives requises pour configurer l'opérateur SageMaker HyperPod de formation. Il permet d'accéder aux modules complémentaires Amazon EKS SageMaker HyperPod et à ceux-ci. La politique inclut des autorisations permettant de décrire les SageMaker HyperPod ressources de votre compte.
**Détails de l'autorisation**
Cette politique inclut les autorisations suivantes :
+ `sagemaker:DescribeClusterNode`- Permet aux utilisateurs de renvoyer des informations sur un HyperPod cluster.
Pour consulter les autorisations associées à cette politique, reportez-vous [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)à la référence des politiques AWS gérées.
# AWS politique gérée : AmazonSageMakerHyperPodObservabilityAdminAccess
Cette politique fournit les privilèges administratifs requis pour configurer l' SageMaker HyperPodobservabilité d'Amazon. Elle permet l’accès aux modules complémentaires Service géré Amazon pour Prometheus, Amazon Managed Grafana et Amazon Elastic Kubernetes Service. La politique inclut également un accès étendu à Grafana HTTP APIs via ServiceAccountTokens tous les espaces de travail Grafana gérés par Amazon sur votre compte.
**Détails de l’autorisation**
La liste suivante fournit une vue d’ensemble des autorisations incluses dans cette politique.
+ `prometheus` : permet de créer et de gérer des espaces de travail et des groupes de règles Service géré Amazon pour Prometheus.
+ `grafana` : permet de créer et de gérer les espaces de travail et les comptes de service Amazon Managed Grafana.
+ `eks` : permet de créer et de gérer le module complémentaire `amazon-sagemaker-hyperpod-observability` Amazon EKS.
+ `iam` : permet de transmettre les rôles de service IAM spécifiques à Amazon Managed Grafana et Amazon EKS.
+ `sagemaker`— Répertorie et décrit les SageMaker HyperPod clusters
+ `sso` : permet de créer et de gérer les instances d’application IAM Identity Center pour la configuration d’Amazon Managed Grafana.
+ `tag` : permet de baliser les ressources des modules complémentaires Service géré Amazon pour Prometheus, Amazon Managed Grafana et Amazon EKS.
Pour consulter le JSON de la politique, consultez [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS politique gérée : AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod crée et utilise le rôle lié au service dont le nom est `AWSServiceRoleForSageMakerHyperPod` `AmazonSageMakerHyperPodServiceRolePolicy` associé au rôle. Cette politique accorde à Amazon SageMaker HyperPod des autorisations pour les AWS services connexes tels qu'Amazon EKS et Amazon CloudWatch.
Le rôle lié au service facilite la configuration SageMaker HyperPod car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. SageMaker HyperPod définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul SageMaker HyperPod peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos SageMaker HyperPod ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
`AmazonSageMakerHyperPodServiceRolePolicy`Permet d' SageMaker HyperPod effectuer les actions suivantes sur les ressources spécifiées en votre nom.
**Détails de l’autorisation**
Cette politique de rôle lié à un service comprend les autorisations suivantes.
+ `eks` : autorise les principaux à lire les informations du cluster Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Permet aux principaux de publier les flux de CloudWatch journaux Amazon sur. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour SageMaker HyperPod
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un SageMaker HyperPod cluster à l'aide de la console SageMaker AI, le AWS CLI, ou le AWS SDKs, SageMaker HyperPod crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service mais que vous devez le créer à nouveau, vous pouvez utiliser le même processus (créer un nouveau SageMaker HyperPod cluster) pour recréer le rôle dans votre compte.
## Modification d'un rôle lié à un service pour SageMaker HyperPod
SageMaker HyperPod ne vous permet pas de modifier le rôle `AWSServiceRoleForSageMakerHyperPod` lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour SageMaker HyperPod
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Pour supprimer les ressources SageMaker HyperPod du cluster à l'aide du rôle lié à un service**
Utilisez l'une des options suivantes pour supprimer les ressources SageMaker HyperPod du cluster.
+ [Supprimer un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) à l'aide de la console SageMaker AI
+ [Supprimer un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) à l'aide du AWS CLI
**Note**
Si le SageMaker HyperPod service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSageMakerHyperPod` service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles SageMaker HyperPod liés à un service
SageMaker HyperPod prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez la section [Conditions préalables pour SageMaker HyperPod](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html).
# AWS politique gérée : AmazonSageMakerClusterInstanceRolePolicy
Cette politique accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker HyperPod.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `cloudwatch`— Permet aux principaux de publier les CloudWatch statistiques Amazon.
+ `logs`— Permet aux principaux de publier des flux de CloudWatch journaux.
+ `s3` : autorise les principaux à répertorier et à extraire les fichiers de script de cycle de vie à partir d’un compartiment Amazon S3 de votre compte. Ces compartiments sont limités à ceux dont le nom commence par « sagemaker- ».
+ `ssmmessages` : autorise les principaux à ouvrir une connexion à AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques SageMaker HyperPod gérées
Consultez les détails des mises à jour des politiques AWS gérées SageMaker HyperPod depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) : nouvelle politique | 1 | Politique initiale | 22 août 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) : politique mise à jour | 2 | Mise à jour de la politique pour corriger la réduction de la portée du rôle afin d’inclure le préfixe `service-role`. Des autorisations ont également été ajoutées pour `eks:DeletePodIdentityAssociation` et `eks:UpdatePodIdentityAssociation` qui sont requises pour les actions end-to-end administratives. | 19 août 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) : nouvelle politique | 1 | Politique initiale | 10 juillet 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) : nouvelle politique | 1 | Politique initiale | 9 septembre 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) : nouvelle politique | 1 | Politique initiale | 29 novembre 2023 |
# AWS Politiques gérées pour la gouvernance des modèles d' SageMaker IA
Cette politique AWS gérée ajoute les autorisations requises pour utiliser SageMaker AI Model Governance. La politique est disponible dans votre AWS compte et est utilisée par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerModelGovernanceUseAccess
](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Model Governance
](#security-iam-awsmanpol-governance-updates)
## AWS politique gérée : AmazonSageMakerModelGovernanceUseAccess
Cette politique AWS gérée accorde les autorisations nécessaires pour utiliser toutes les fonctionnalités d'Amazon SageMaker AI Governance. La politique est disponible dans votre AWS compte.
Cette politique inclut les autorisations suivantes.
+ `s3` : récupère des objets de compartiments Amazon S3. Les objets récupérables sont limités à ceux dont le nom insensible à la casse contient la chaîne `"sagemaker"`.
+ `kms`— Répertoriez les AWS KMS clés à utiliser pour le chiffrement du contenu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Model Governance
Consultez les détails des mises à jour des politiques AWS gérées pour la gouvernance des modèles d' SageMaker IA depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) : mise à jour d’une stratégie existante | 3 | Ajoutez une déclaration IDs (`Sid`). | 4 juin 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Mise à jour d'une politique existante | 2 | Ajoutez les autorisations `sagemaker:DescribeModelPackage` et `DescribeModelPackageGroup`. | 17 juillet 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Nouvelle politique | 1 | Politique initiale | 30 novembre 2022 |
# AWS Politiques gérées pour le registre des modèles
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser Model Registry. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console Amazon SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerModelRegistryFullAccess
](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [
## Amazon SageMaker AI met à jour les politiques gérées par Model Registry
](#security-iam-awsmanpol-model-registry-updates)
## AWS politique gérée : AmazonSageMakerModelRegistryFullAccess
Cette politique AWS gérée accorde les autorisations nécessaires pour utiliser toutes les fonctionnalités du Model Registry au sein d'un domaine Amazon SageMaker AI. Cette politique est attachée à un rôle d’exécution lors de la configuration des paramètres du registre de modèles pour activer les autorisations du registre des modèles.
Cette politique inclut les autorisations suivantes.
+ `ecr` : permet aux principaux de récupérer des informations, y compris des métadonnées, sur les images Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Permet aux principaux de transmettre le rôle d'exécution au service Amazon SageMaker AI.
+ `resource-groups`— Permet aux principaux de créer, répertorier, étiqueter et supprimer Groupes de ressources AWS.
+ `s3` : permet aux principaux de récupérer des objets depuis les compartiments Amazon Simple Storage Service (Amazon S3) dans lesquels les versions des modèles sont stockées. Les objets récupérables sont limités à ceux dont le nom insensible à la casse contient la chaîne `"sagemaker"`.
+ `sagemaker`— Permet aux principaux de cataloguer, de gérer et de déployer des modèles à l'aide du SageMaker Model Registry.
+ `kms`— Autorise uniquement le principal du service SageMaker AI à ajouter une subvention, à générer des clés de données, à déchiffrer et à lire des AWS KMS clés, et uniquement les clés étiquetées pour une utilisation « sagemaker ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Model Registry
Consultez les détails des mises à jour des politiques AWS gérées pour Model Registry depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) : mise à jour d’une stratégie existante | 2 | Ajoutez les autorisation `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey`, et `kms:Decrypt`. | 6 juin 2024 |
| AmazonSageMakerModelRegistryFullAccess - Nouvelle politique | 1 | Politique initiale | 12 avril 2023 |
# AWS Politiques gérées pour les SageMaker ordinateurs portables
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker blocs-notes. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerNotebooksServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [
## Amazon SageMaker AI met à jour les SageMaker politiques gérées par AI Notebooks
](#security-iam-awsmanpol-notebooks-updates)
## AWS politique gérée : AmazonSageMakerNotebooksServiceRolePolicy
Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser Amazon SageMaker Notebooks. La politique est ajoutée à `AWSServiceRoleForAmazonSageMakerNotebooks` celle créée lors de l'intégration à Amazon SageMaker Studio Classic. Pour plus d’informations sur les rôles liés à un service, consultez [Rôles liés à un service](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Pour de plus amples informations, consultez [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html).
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `elasticfilesystem` – Permet aux principaux de créer et de supprimer des systèmes de fichiers Amazon Elastic File System (EFS), des points d'accès et des cibles de montage. Ils sont limités à ceux marqués avec la clé *ManagedByAmazonSageMakerResource*. Permet aux principaux de décrire tous les systèmes de fichiers EFS, les points d'accès et les cibles de montage. Permet aux principaux de créer ou de remplacer des balises pour les points d'accès EFS et les cibles de montage.
+ `ec2` – Permet aux principaux de créer des interfaces réseau et des groupes de sécurité pour les instances Amazon Elastic Compute Cloud (EC2). Permet également aux principaux de créer et de remplacer des balises pour ces ressources.
+ `sso` : permet aux principaux d’ajouter et de supprimer des instances d’applications gérées dans AWS IAM Identity Center.
+ `sagemaker`— Permet aux directeurs de créer et de lire SageMaker des profils d'utilisateurs et des espaces d' SageMaker IA, de supprimer des espaces d' SageMaker IA et des applications d' SageMaker IA, et d'ajouter et de répertorier des balises.
+ `fsx`— Permet aux responsables de décrire le système de fichiers Amazon FSx for Lustre et d'utiliser les métadonnées pour le monter sur un bloc-notes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les SageMaker politiques gérées par AI Notebooks
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) : mise à jour d’une stratégie existante | 10 | Ajouter l’autorisation `fsx:DescribeFileSystems`. | 14 novembre 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) : mise à jour d’une stratégie existante | 9 | Ajouter l’autorisation `sagemaker:DeleteApp`. | 24 juillet 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 8 | Ajoutez les autorisations `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` et `sagemaker:AddTags`. | 22 mai 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 7 | Ajouter l’autorisation `elasticfilesystem:TagResource`. | 9 mars 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Mise à jour d'une politique existante | 6 | Ajoutez les autorisations `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` et `elasticfilesystem:DescribeAccessPoints`. | 12 janvier 2023 |
| | | SageMaker AI a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 1er juin 2021 |
# AWS politiques gérées pour les applications Amazon SageMaker Partner AI
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les applications Amazon SageMaker Partner AI. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerPartnerAppsFullAccess
](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [
## Amazon SageMaker AI met à jour les politiques gérées par Partner AI Apps
](#security-iam-awsmanpol-partner-apps-updates)
## AWS politique gérée : AmazonSageMakerPartnerAppsFullAccess
Permet un accès administratif complet aux applications Amazon SageMaker Partner AI.
**Détails de l’autorisation**
Cette politique AWS gérée inclut les autorisations suivantes.
+ `sagemaker`— Permet aux utilisateurs de l'application Amazon SageMaker Partner AI d'accéder aux applications, de répertorier les applications disponibles, de lancer des applications Web UIs et de se connecter à l'aide du SDK de l'application.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par Partner AI Apps
Consultez les détails des mises à jour des politiques AWS gérées pour les applications d'IA partenaires depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [page d'historique des documents SageMaker AI.](doc-history.md)
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Nouvelle politique | 1 | Politique initiale | 17 janvier 2025 |
# AWS Politiques gérées pour les SageMaker pipelines
Ces politiques AWS gérées ajoutent les autorisations requises pour utiliser les SageMaker pipelines. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerPipelinesIntegrations
](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Pipelines
](#security-iam-awsmanpol-pipelines-updates)
## AWS politique gérée : AmazonSageMakerPipelinesIntegrations
Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser les étapes de rappel et les étapes Lambda dans les SageMaker pipelines. La politique est ajoutée à `AmazonSageMaker-ExecutionRole` celle créée lors de l'intégration à Amazon SageMaker Studio Classic. La politique peut être attachée à n’importe quel rôle utilisé pour la création ou l’exécution d’un pipeline.
Cette politique accorde les autorisations AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon et IAM nécessaires pour créer des pipelines qui invoquent des fonctions Lambda ou incluent des étapes de rappel, qui peuvent être utilisées pour des étapes d'approbation manuelle ou pour exécuter des charges de travail personnalisées.
Les autorisations Amazon SQS vous permettent de créer la file d’attente Amazon SQS nécessaire à la réception des messages de rappel et d’envoyer des messages à cette file d’attente.
Les autorisations Lambda vous permettent de créer, de lire, de mettre à jour et de supprimer les fonctions Lambda utilisées dans les étapes du pipeline, ainsi que d'appeler ces fonctions Lambda.
Cette politique accorde les autorisations Amazon EMR nécessaires à l'exécution d'une étape Amazon EMR de pipelines.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `elasticmapreduce` : lire, ajouter et annuler des étapes dans un cluster Amazon EMR en cours d’exécution. Lisez, créez et résiliez un nouveau cluster Amazon EMR.
+ `events`— Lisez, créez, mettez à jour et ajoutez des cibles à une EventBridge règle nommée `SageMakerPipelineExecutionEMRStepStatusUpdateRule` et`SageMakerPipelineExecutionEMRClusterStatusUpdateRule`.
+ `iam`— Transférez un rôle IAM au service AWS Lambda, à Amazon EMR et à Amazon EC2.
+ `lambda` – Créer, lire, mettre à jour, supprimer et appeler des fonctions Lambda. Ces autorisations sont limitées aux fonctions dont le nom inclut « sagemaker ».
+ `sqs` – Créer une file d'attente Amazon SQS ; envoyer un message Amazon SQS. Ces autorisations sont limitées aux files d’attente dont le nom inclut « sagemaker ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées par SageMaker AI Pipelines
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) : mise à jour d’une stratégie existante | 3 | Autorisations ajoutées pour `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps` et `elasticmapreduce:DescribeCluster`. | 17 février 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) : mise à jour d’une stratégie existante | 2 | Autorisations ajoutées pour `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps` et `elasticmapreduce:DescribeStep`. | 20 avril 2022 |
| AmazonSageMakerPipelinesIntegrations - Nouvelle politique | 1 | Politique initiale | 30 juillet 2021 |
# AWS politiques gérées pour les plans SageMaker de formation
Cette politique AWS gérée accorde les autorisations nécessaires pour créer et gérer les plans de SageMaker formation Amazon et les capacités réservées dans le domaine de l' SageMaker IA. La politique peut être attachée aux rôles IAM utilisés pour créer et gérer les plans de formation et aux capacités réservées au sein de l' SageMaker IA, y compris votre [rôle d'exécution de l'SageMaker IA](sagemaker-roles.md).
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerTrainingPlanCreateAccess
](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [
## Amazon SageMaker AI met à jour les politiques gérées des plans de SageMaker formation
](#security-iam-awsmanpol-training-plan-updates)
## AWS politique gérée : AmazonSageMakerTrainingPlanCreateAccess
Cette politique fournit les autorisations nécessaires pour créer, décrire, rechercher et répertorier des plans de formation en SageMaker IA. En outre, elle autorise également l’ajout de balises aux plans d’entraînement et aux ressources de capacité réservée dans des conditions spécifiques.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sagemaker` : créez des plans d’entraînement et une capacité réservée, autorisez l’ajout de balises aux plans d’entraînement et à la capacité réservée lorsque l’action de balisage est spécifiquement `CreateTrainingPlan` ou `CreateReservedCapacity`, autorisez la description des plans d’entraînement et autorisez la recherche d’offres de plans d’entraînement et la création de la liste des plans d’entraînement existants sur toutes les ressources.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques gérées des plans de SageMaker formation
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - politique mise à jour | 2 | Politique mise à jour pour ajouter des autorisations permettant de récupérer des informations sur une capacité réservée spécifique et de répertorier toutes les UltraServers capacités réservées. | 29 juillet 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Nouvelle politique | 1 | Politique initiale | 4 décembre 2024 |
# AWS Politiques gérées pour les SageMaker projets et JumpStart
Ces politiques AWS gérées ajoutent des autorisations pour utiliser les modèles et JumpStart solutions de projet Amazon SageMaker AI intégrés. Les politiques sont disponibles dans votre AWS compte et sont utilisées par les rôles d'exécution créés à partir de la console SageMaker AI.
SageMaker Projetez et JumpStart utilisez AWS Service Catalog pour provisionner AWS des ressources dans les comptes des clients. Certaines ressources créées doivent assumer un rôle d’exécution. Par exemple, si AWS Service Catalog crée un CodePipeline pipeline pour le compte d'un client pour un CI/CD projet d'apprentissage automatique basé sur l' SageMaker IA, ce pipeline nécessite un rôle IAM.
Le [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)rôle dispose des autorisations requises pour lancer le portefeuille de produits SageMaker AI à partir de AWS Service Catalog. Le [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)rôle dispose des autorisations requises pour utiliser le portefeuille de produits SageMaker AI de AWS Service Catalog. Le `AmazonSageMakerServiceCatalogProductsLaunchRole` rôle transmet un `AmazonSageMakerServiceCatalogProductsUseRole` rôle aux ressources du produit AWS Service Catalog mises en service.
**Topics**
+ [
## AWS politique gérée : AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Politique
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsEventsServiceRole Politique
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Politique
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsGlueServiceRole Politique
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsLambdaServiceRole Politique
](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [
## Amazon SageMaker AI met à jour les politiques AWS gérées par AWS Service Catalog
](#security-iam-awsmanpol-sc-updates)
## AWS politique gérée : AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Cette politique de rôle de service est utilisée par le AWS Service Catalog service pour fournir des produits du portefeuille Amazon SageMaker AI. La politique accorde des autorisations à un ensemble de AWS services connexes AWS CodePipeline, notamment AWS CodeBuild, AWS CodeCommit, AWS CloudFormation, AWS Glue et autres.
La `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` politique est destinée à être utilisée par le `AmazonSageMakerServiceCatalogProductsLaunchRole` rôle créé à partir de la console SageMaker AI. La politique ajoute des autorisations permettant de fournir AWS des ressources pour les SageMaker projets et JumpStart d'utiliser Service Catalog sur le compte d'un client.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `apigateway` – Autorise le rôle à appeler les points de terminaison API Gateway étiquetés avec `sagemaker:launch-source`.
+ `cloudformation`— Permet AWS Service Catalog de créer, de mettre à jour et de supprimer des CloudFormation piles. Autorise également Service Catalog à ajouter des balises aux ressources et à les supprimer.
+ `codebuild`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de créer, CloudFormation de mettre à jour et de supprimer CodeBuild des projets.
+ `codecommit`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de créer, mettre CloudFormation à jour et supprimer CodeCommit des référentiels.
+ `codepipeline`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de créer, CloudFormation de mettre à jour et de supprimer CodePipelines.
+ `codeconnections`, `codestar-connections` — Permet également au rôle de passer AWS CodeConnections et de créer AWS CodeStar des connexions.
+ `cognito-idp` : autorise le rôle à créer, à mettre à jour, et à supprimer des groupes et des groupes d’utilisateurs. Autorise également le balisage des ressources.
+ `ecr`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de CloudFormation créer et de supprimer des référentiels Amazon ECR. Autorise également le balisage des ressources.
+ `events`— Permet au rôle assumé par AWS Service Catalog et transmis à celui-ci de CloudFormation créer et de supprimer EventBridge des règles. Utilisé pour relier les différents composants du pipeline CI/CD.
+ `firehose` : autorise le rôle à interagir avec les flux Firehose.
+ `glue`— Permet au rôle d'interagir avec AWS Glue.
+ `iam` – Autorise le rôle à transmettre les rôles préfixés par `AmazonSageMakerServiceCatalog`. Cela est nécessaire lorsque Projects alloue un produit AWS Service Catalog , car un rôle doit être transmis à AWS Service Catalog.
+ `lambda` : autorise le rôle à interagir avec AWS Lambda. Autorise également le balisage des ressources.
+ `logs` – Autorise le rôle à créer, à supprimer et à accéder à des flux de journaux.
+ `s3`— Permet au rôle assumé par AWS Service Catalog et transmis d'accéder CloudFormation aux compartiments Amazon S3 dans lesquels le code du modèle de projet est stocké.
+ `sagemaker`— Permet au rôle d'interagir avec différents services d' SageMaker IA. Cela se fait à la fois CloudFormation lors du provisionnement du modèle et CodeBuild lors de l'exécution du pipeline CICD. Elle autorise également le balisage des ressources suivantes : points de terminaison, configurations des points de terminaison, modèles, pipelines, projets et packages de modèles.
+ `states` : autorise le rôle à créer, à supprimer et à mettre à jour les fonctions d’étape préfixées par `sagemaker`.
Pour consulter les autorisations associées à cette politique, voir [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) dans la référence des politiques AWS gérées.
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Cette politique est utilisée par Amazon API Gateway dans le cadre AWS Service Catalog des produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transmis aux AWS ressources créées par API Gateway qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `lambda` : invoquez une fonction créée par un modèle partenaire.
+ `sagemaker` : invoquez un point de terminaison créé par un modèle partenaire.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Cette politique est utilisée AWS CloudFormation au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par CloudFormation lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam` : transmettez les rôles `AmazonSageMakerServiceCatalogProductsLambdaRole` et `AmazonSageMakerServiceCatalogProductsApiGatewayRole`.
+ `lambda`— Créez, mettez à jour, supprimez et invoquez des AWS Lambda fonctions ; récupérez, publiez et supprimez des versions d'une couche Lambda.
+ `apigateway` : créez, mettez à jour et supprimez des ressources Amazon API Gateway.
+ `s3` : récupérez le fichier `lambda-auth-code/layer.zip` à partir d'un compartiment Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Cette politique est utilisée AWS Lambda au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par Lambda qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `secretsmanager` : récupérez les données des secrets fournis par le partenaire pour un modèle partenaire.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Cette politique est utilisée par Amazon API Gateway dans le cadre AWS Service Catalog des produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transmis aux AWS ressources créées par API Gateway qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `logs`— Créez et lisez CloudWatch des groupes de journaux, des flux et des événements ; mettez à jour des événements ; décrivez diverses ressources.
Ces autorisations sont limitées aux ressources dont le préfixe de groupe de journaux commence par « aws/apigateway/ ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Politique
Cette politique est utilisée AWS CloudFormation au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par CloudFormation lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sagemaker`— Autorisez l'accès à diverses ressources d' SageMaker IA, à l'exception des domaines, des profils utilisateurs, des applications et des définitions de flux.
+ `iam` : transmettez les rôles `AmazonSageMakerServiceCatalogProductsCodeBuildRole` et `AmazonSageMakerServiceCatalogProductsExecutionRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Cette politique est utilisée AWS CodeBuild au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par CodeBuild lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sagemaker`— Autoriser l'accès à diverses ressources d' SageMaker IA.
+ `codecommit`— Téléchargez CodeCommit des archives vers des CodeBuild pipelines, obtenez le statut du téléchargement et annulez les téléchargements ; obtenez des informations sur les branches et les validations. Ces autorisations sont limitées aux ressources dont le nom commence par « sagemaker- ».
+ `ecr` : créez des référentiels Amazon ECR et des images de conteneurs ; chargez des couches d'images. Ces autorisations sont limitées aux référentiels dont le nom commence par « sagemaker- ».
`ecr` : lisez toutes les ressources.
+ `iam` : transmettez les rôles suivants :
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`à AWS CloudFormation.
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`à AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`à AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`à Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`à Amazon SageMaker AI.
+ `logs`— Créez et lisez CloudWatch des groupes de journaux, des flux et des événements ; mettez à jour des événements ; décrivez diverses ressources.
Ces autorisations sont limitées aux ressources dont le préfixe du nom commence par « aws/codebuild/ ».
+ `s3` : créez, lisez et répertoriez les compartiments Amazon S3. Ces autorisations sont limitées aux compartiments dont le nom commence par « sagemaker- ».
+ `codeconnections`, `codestar-connections` — Utilisation AWS CodeConnections et AWS CodeStar connexions.
Pour consulter les autorisations associées à cette politique, reportez-vous [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)à la référence des politiques AWS gérées.
## AWS politique gérée : AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Cette politique est utilisée AWS CodePipeline au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par CodePipeline lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `cloudformation`— Créez, lisez, supprimez et mettez à jour des CloudFormation piles ; créez, lisez, supprimez et exécutez des ensembles de modifications ; définissez une politique de pile ; balisez et débalisez les ressources. Ces autorisations sont limitées aux ressources dont le nom commence par « sagemaker- ».
+ `s3` : créez, lisez, répertoriez et supprimez des compartiments Amazon S3 ; ajoutez, lisez et supprimez des objets dans les compartiments ; lisez et définissez la configuration CORS ; lisez la liste de contrôle d'accès (ACL) et lisez la région AWS où se trouve le compartiment.
Ces autorisations sont limitées aux compartiments dont le nom commence par « sagemaker- » ou « aws-glue- ».
+ `iam` : transmettez le rôle `AmazonSageMakerServiceCatalogProductsCloudformationRole`.
+ `codebuild`— Obtenez des informations sur les CodeBuild builds et lancez les builds. Ces autorisations sont limitées aux ressources de projet et de génération dont le nom commence par « sagemaker- ».
+ `codecommit`— Téléchargez CodeCommit des archives vers des CodeBuild pipelines, obtenez le statut du téléchargement et annulez les téléchargements ; obtenez des informations sur les branches et les validations.
+ `codeconnections`, `codestar-connections` — Utilisation AWS CodeConnections et AWS CodeStar connexions.
Pour consulter les autorisations associées à cette politique, reportez-vous [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)à la référence des politiques AWS gérées.
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsEventsServiceRole Politique
Cette politique est appliquée par Amazon EventBridge dans le cadre AWS Service Catalog des produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par EventBridge lesquelles un rôle est requis.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `codepipeline`— Lance une CodeBuild exécution. Ces autorisations sont limitées aux pipelines dont le nom commence par « sagemaker- ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Politique
Cette politique est utilisée par Amazon Data Firehose dans le cadre des produits AWS Service Catalog fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transmis aux AWS ressources créées par Firehose qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `firehose` : envoie les enregistrements Firehose. Ces autorisations sont limitées aux ressources dont le nom du flux de diffusion commence par « sagemaker- ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsGlueServiceRole Politique
Cette politique est utilisée par AWS Glue dans le cadre des produits fournis par le AWS Service Catalog à partir du portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transmis aux AWS ressources créées par Glue qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `glue`— Créez, lisez et supprimez des partitions, des tables et des versions de tables AWS Glue. Ces autorisations sont limitées aux ressources dont le nom commence par « sagemaker- ». Créez et lisez des bases AWS de données Glue. Ces autorisations sont limitées aux bases de données dont le nom est « default » ou « global\$1temp », ou dont le nom commence par « sagemaker- ». Obtenez des fonctions définies par l'utilisateur.
+ `s3` : créez, lisez, répertoriez et supprimez des compartiments Amazon S3 ; ajoutez, lisez et supprimez des objets dans les compartiments ; lisez et définissez la configuration CORS ; lisez la liste de contrôle d'accès (ACL) et lisez la région AWS où se trouve le compartiment.
Ces autorisations sont limitées aux compartiments dont le nom commence par « sagemaker- » ou « aws-glue- ».
+ `logs`— Créez, lisez et supprimez les CloudWatch journaux, le groupe de journaux, les flux et les livraisons ; et créez une politique de ressources.
Ces autorisations sont limitées aux ressources dont le préfixe du nom commence par « aws/glue ».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS stratégie gérée : AmazonSageMakerServiceCatalogProductsLambdaServiceRole Politique
Cette politique est utilisée AWS Lambda au sein des AWS Service Catalog produits fournis par le portefeuille Amazon SageMaker AI. La politique est destinée à être attachée à un rôle IAM qui est ensuite transmis [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)aux AWS ressources créées par Lambda qui nécessitent un rôle.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `sagemaker`— Autoriser l'accès à diverses ressources d' SageMaker IA.
+ `ecr` : créez et supprimez des référentiels Amazon ECR ; créez, lisez et supprimez des images de conteneurs ; chargez des couches d’images. Ces autorisations sont limitées aux référentiels dont le nom commence par « sagemaker- ».
+ `events`— Créez, lisez et supprimez les EventBridge règles Amazon, et créez et supprimez des cibles. Ces autorisations sont limitées aux règles dont le nom commence par « sagemaker- ».
+ `s3` : créez, lisez, répertoriez et supprimez des compartiments Amazon S3 ; ajoutez, lisez et supprimez des objets dans les compartiments ; lisez et définissez la configuration CORS ; lisez la liste de contrôle d’accès (ACL) et lisez la région AWS où se trouve le compartiment.
Ces autorisations sont limitées aux compartiments dont le nom commence par « sagemaker- » ou « aws-glue- ».
+ `iam` : transmettez le rôle `AmazonSageMakerServiceCatalogProductsExecutionRole`.
+ `logs`— Créez, lisez et supprimez les CloudWatch journaux, le groupe de journaux, les flux et les livraisons ; et créez une politique de ressources.
Ces autorisations sont limitées aux ressources dont le préfixe du nom commence par « aws/lambda/ ».
+ `codebuild`— Démarrez et obtenez des informations sur les AWS CodeBuild builds.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI met à jour les politiques AWS gérées par AWS Service Catalog
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) – Mise à jour de politique | 10 | Mise à jour `codestar-connections:PassConnection` et `codeconnections:PassConnection` autorisations. | 27 septembre 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy) – Mise à jour de politique | 3 | Mise à jour `codestar-connections:UseConnection` et `codeconnections:UseConnection` autorisations. | 27 septembre 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy) – Mise à jour de politique | 3 | Mise à jour `codestar-connections:UseConnection` et `codeconnections:UseConnection` autorisations. | 27 septembre 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) – Mise à jour de politique | 9 | Ajoutez les autorisations `cloudformation:TagResource`, `cloudformation:UntagResource` et `codeconnections:PassConnection`. | 1er juillet 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 7 | Restauration de la politique à la version 7 (v7). Suppression des autorisations `cloudformation:TagResource`, `cloudformation:UntagResource` et `codeconnections:PassConnection`. | 12 juin 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 8 | Ajoutez les autorisations `cloudformation:TagResource`, `cloudformation:UntagResource` et `codeconnections:PassConnection`. | 11 juin 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy) : politique mise à jour | 2 | Ajoutez les autorisations `codestar-connections:UseConnection` et `codeconnections:UseConnection`. | 11 juin 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy) : politique mise à jour | 2 | Ajout des autorisations `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` et `codeconnections:UseConnection`. | 11 juin 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy) : politique mise à jour | 2 | Ajoutez les autorisations `codebuild:StartBuild` et `codebuild:BatchGetBuilds`. | 11 juin 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Politique initiale | 1er août 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Politique initiale | 1er août 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Politique initiale | 1er août 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy) : politique mise à jour | 2 | Ajout d’une nouvelle autorisation pour `glue:GetUserDefinedFunctions`. | 26 août 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 7 | Ajout d’une nouvelle autorisation pour `sagemaker:AddTags`. | 2 août 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 6 | Ajout d'une nouvelle autorisation pour `lambda:TagResource`. | 14 juillet 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolitique | 1 | Politique initiale | 4 avril 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Politique initiale | 24 mars 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Politique initiale | 24 mars 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Politique initiale | 24 mars 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 5 | Ajout d’une nouvelle autorisation pour `ecr-idp:TagResource`. | 21 mars 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Politique initiale | 22 février 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Politique initiale | 22 février 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolitique](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Politique initiale | 22 février 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolitique | 1 | Politique initiale | 22 février 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 4 | Ajout d'autorisations pour `cognito-idp:TagResource` et `s3:PutBucketCORS`. | 16 février 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 3 | Ajout de nouvelles autorisations pour `sagemaker`. Créez, lisez, mettez à jour et supprimez SageMaker des images. | 15 septembre 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politique mise à jour | 2 | Ajout d'autorisations pour `sagemaker` et `codestar-connections`. Création, lecture, mise à jour et suppression des référentiels de code. Transmettez AWS CodeStar les connexions à AWS CodePipeline. | 1er juillet 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Politique initiale | 27 novembre 2020 |
## SageMaker Mises à jour des politiques AWS gérées par l'IA
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour l' SageMaker IA depuis que ce service a commencé à suivre ces modifications.
| Politique | Version | Modifier | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) : mise à jour d’une stratégie existante | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 décembre 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) : mise à jour d’une stratégie existante | 26 | Ajouter l’autorisation `sagemaker:AddTags`. | 29 mars 2024 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 25 | Ajout des autorisations `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` et `s3express:ListAllMyDirectoryBuckets`. | 30 novembre 2023 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 24 | Ajoutez les autorisations `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` et `sagemaker:ListSpaces`. | 30 novembre 2022 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 23 | Addition `glue:UpdateTable`. | 29 juin 2022 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 22 | Addition `cloudformation:ListStackResources`. | 1er mai 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) : mise à jour d’une stratégie existante | 11 | Ajoutez des autorisations `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy`. | 1er décembre 2021 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 21 | Ajout des autorisations `sns:Publish` pour les points de terminaison dont l’inférence asynchrone est activée. | 8 septembre 2021 |
| AmazonSageMakerFullAccess - Mise à jour d'une politique existante | 20 | Mettez à jour les ressources et les autorisations `iam:PassRole`. | 15 juillet 2021 |
| AmazonSageMakerReadOnly - Mise à jour d'une politique existante | 10 | Nouvelle API `BatchGetRecord` ajoutée pour SageMaker AI Feature Store. | 10 juin 2021 |
| | | SageMaker AI a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 1er juin 2021 |