View a markdown version of this page

AWS Policy gestite per SageMaker notebook - Amazon SageMaker AI
AmazonSageMakerNotebooksServiceRolePolicySageMaker Aggiornamenti delle politiche relative ai notebook

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Policy gestite per SageMaker notebook

Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare i notebook. SageMaker Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console AI. SageMaker

AWS politica gestita: AmazonSageMakerNotebooksServiceRolePolicy

Questa policy AWS gestita concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Notebooks. La policy viene aggiunta a AWSServiceRoleForAmazonSageMakerNotebooks quella creata quando effettui l'onboarding su Amazon SageMaker Studio Classic. Per ulteriori informazioni sui ruoli collegati ai servizi, consulta Service-linked ruoli. Per ulteriori informazioni, consulta AmazonSageMakerNotebooksServiceRolePolicy

Dettagli delle autorizzazioni

Questa policy include le seguenti autorizzazioni:

  • elasticfilesystem: consente alle entità principali di creare ed eliminare i file system Amazon Elastic File System (EFS), i punti di accesso e i target di montaggio. Queste sono limitate a quelle contrassegnate con la chiave ManagedByAmazonSageMakerResource. Consente alle entità principali di descrivere tutti i file system EFS, i punti di accesso e i target di montaggio. Consente alle entità principali di creare o sovrascrivere i tag per i punti di accesso EFS e i target di montaggio.

  • ec2: consente alle entità principali di creare interfacce di rete e gruppi di sicurezza per le istanze di Amazon Elastic Compute Cloud (EC2). Consente inoltre alle entità principali di creare e sovrascrivere i tag per queste risorse.

  • sso: consente alle entità principali di aggiungere ed eliminare in AWS IAM Identity Center istanze di applicazioni gestite.

  • sagemaker— Consente ai responsabili di creare e leggere SageMaker profili utente e spazi SageMaker AI, eliminare spazi SageMaker AI e app SageMaker AI e aggiungere ed elencare tag.

  • fsx: consente ai principali di descrivere il file system Amazon FSx per Lustre e di utilizzare i metadati per montarlo sul notebook.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {   
            "Sid": "AllowFSxDescribe",
            "Effect": "Allow",
            "Action": [
                "fsx:DescribeFileSystems"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AllowSageMakerDeleteApp",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DeleteApp"
            ],
            "Resource": "arn:aws:sagemaker:*:*:app/*"
        },
        {
            "Sid": "AllowEFSAccessPointCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateAccessPoint",
            "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSAccessPointDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteAccessPoint"
            ],
            "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSCreation",
            "Effect": "Allow",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSMountWithDeletion",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEFSDescribe",
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEFSTagging",
            "Effect": "Allow",
            "Action": "elasticfilesystem:TagResource",
            "Resource": [
                "arn:aws:elasticfilesystem:*:*:access-point/*",
                "arn:aws:elasticfilesystem:*:*:file-system/*"
            ],
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowEC2Tagging",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Sid": "AllowEC2Operations",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEC2AuthZ",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DeleteSecurityGroup",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
                }
            }
        },
        {
            "Sid": "AllowIdcOperations",
            "Effect": "Allow",
            "Action": [
                "sso:CreateManagedApplicationInstance",
                "sso:DeleteManagedApplicationInstance",
                "sso:GetManagedApplicationInstance"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerProfileCreation",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateUserProfile",
                "sagemaker:DescribeUserProfile"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreateSpace",
                "sagemaker:DescribeSpace",
                "sagemaker:DeleteSpace",
                "sagemaker:ListTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
        },
        {
            "Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
            "Effect": "Allow",
            "Action": [
                "sagemaker:AddTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
            "Condition": {
                "StringEquals": {
                    "sagemaker:TaggingAction": "CreateSpace"
                }
            }
        }
    ]
}

Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Notebooks

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.

Policy Versione Modifica Data

AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una policy esistente

10

Aggiunta l'autorizzazione fsx:DescribeFileSystems.

 14 novembre 2024

AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una policy esistente

9

Aggiunta l'autorizzazione sagemaker:DeleteApp.

 24 luglio 2024

AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente

8

Aggiunte le autorizzazioni sagemaker:CreateSpace, sagemaker:DescribeSpace, sagemaker:DeleteSpace, sagemaker:ListTags e sagemaker:AddTags.

 22 maggio 2024

AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente

7

Aggiunta l'autorizzazione elasticfilesystem:TagResource.

 9 marzo 2023

AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente

6

Aggiunte le autorizzazioni elasticfilesystem:CreateAccessPoint, elasticfilesystem:DeleteAccessPoint e elasticfilesystem:DescribeAccessPoints.

 12 gennaio 2023

SageMaker L'intelligenza artificiale ha iniziato a tracciare le modifiche alle sue politiche AWS gestite.

 1 giugno 2021