翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS SageMaker ノートブックの管理ポリシー
これらの AWS 管理ポリシーは、SageMaker ノートブックを使用するために必要なアクセス許可を追加します。ポリシーは AWS アカウントで使用でき、SageMaker AI コンソールから作成された実行ロールによって使用されます。
**Topics**
+ [AWS マネージドポリシー: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI での SageMaker AI Notebooks マネージドポリシーの更新](#security-iam-awsmanpol-notebooks-updates)
## AWS マネージドポリシー: AmazonSageMakerNotebooksServiceRolePolicy
この AWS 管理ポリシーは、Amazon SageMaker Notebooks を使用するのに一般的に必要なアクセス許可を付与します。このポリシーは、Amazon SageMaker Studio Classic にオンボードする際に作成される `AWSServiceRoleForAmazonSageMakerNotebooks` に追加されます。サービスにリンクしたロールの詳細については、「[サービスリンクロール](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)」を参照してください。詳細については、「[AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)」を参照してください。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `elasticfilesystem` — Amazon Elastic File System (EFS) ファイルシステム、アクセスポイント、マウントターゲットの作成や削除をプリンシパルに許可します。これらは *ManagedByAmazonSageMakerResource* キーでタグ付けされたものに限られます。すべての EFS ファイルシステム、アクセスポイント、マウントターゲットを記述することをプリンシパルに許可します。EFS アクセスポイントとマウントターゲットのタグを作成または上書きすることをプリンシパルに許可します。
+ `ec2` — Amazon Elastic Compute Cloud (EC2) インスタンスのネットワークインターフェイスとセキュリティグループを作成することをプリンシパルに許可します。また、これらのリソースのタグを作成したり上書きしたりすることもプリンシパルに許可します。
+ `sso` — マネージドアプリケーションインスタンスの AWS IAM アイデンティティセンターに対する追加や削除をプリンシパルに許可します。
+ `sagemaker` – プリンシパルが SageMaker AI ユーザープロファイルと SageMaker AI スペースを作成して読み取り、SageMaker AI スペースと SageMaker AI アプリケーションを削除することを許可します。
+ `fsx` – プリンシパルが Amazon FSx for Lustre ファイルシステムを記述し、メタデータを使用してノートブックにマウントできるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI での SageMaker AI Notebooks マネージドポリシーの更新
このサービスがこれらの変更の追跡を開始してからの Amazon SageMaker AI の AWS マネージドポリシーの更新に関する詳細を表示します。
| ポリシー | バージョン | 変更 | 日付 |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) – 既存ポリシーへの更新 | 10 | `fsx:DescribeFileSystems` アクセス許可を追加します。 | 2024 年 11 月 14 日 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) – 既存ポリシーへの更新 | 9 | `sagemaker:DeleteApp` アクセス許可を追加します。 | 2024 年 7 月 24 日 |
| AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新 | 8 | `sagemaker:CreateSpace`、`sagemaker:DescribeSpace`、`sagemaker:DeleteSpace`、`sagemaker:ListTags`、`sagemaker:AddTags` アクセス許可を追加します。 | 2024 年 5 月 22 日 |
| AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新 | 7 | `elasticfilesystem:TagResource` アクセス許可を追加します。 | 2023 年 3 月 9 日 |
| AmazonSageMakerNotebooksServiceRolePolicy - 既存のポリシーの更新 | 6 | `elasticfilesystem:CreateAccessPoint`、`elasticfilesystem:DeleteAccessPoint`、および `elasticfilesystem:DescribeAccessPoints` アクセス許可を追加します。 | 2023 年 1 月 12 日 |
| | | SageMaker AI は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 6 月 1 日 |