기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS 모델 레지스트리에 대한 관리형 정책
이러한 AWS 관리형 정책은 모델 레지스트리를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 Amazon SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Model Registry 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-model-registry-updates)
## AWS 관리형 정책: AmazonSageMakerModelRegistryFullAccess
이 AWS 관리형 정책은 Amazon SageMaker AI 도메인 내에서 모든 모델 레지스트리 기능을 사용하는 데 필요한 권한을 부여합니다. 이 정책은 모델 레지스트리 권한을 활성화하도록 모델 레지스트리 설정을 구성할 때 실행 역할에 연결됩니다.
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ecr` - 보안 주체가 Amazon Elastic Container Registry(Amazon ECR) 이미지에 대해 메타데이터를 포함한 정보를 검색할 수 있도록 허용합니다.
+ `iam` - 위탁자가 Amazon SageMaker AI 서비스에 실행 역할을 넘길 수 있도록 허용합니다.
+ `resource-groups` - 보안 주체가 생성, 나열, 태그 지정 및 삭제할 수 있도록 허용합니다 AWS Resource Groups.
+ `s3` - 보안 주체가 모델 버전이 저장된 Amazon Simple Storage Service(S3) 버킷에서 객체를 검색할 수 있도록 허용합니다. 검색 가능한 객체는 대소문자를 구분하지 않는 이름에 문자열`"sagemaker"`가 포함된 객체로 제한됩니다.
+ `sagemaker` - 위탁자가 SageMaker Model Registry를 사용하여 모델을 카탈로그, 관리 및 배포할 수 있도록 허용합니다.
+ `kms` - SageMaker AI 서비스 보안 주체만 권한 부여를 추가하고, 데이터 키를 생성하고, 복호화하고, AWS KMS 키를 읽을 수 있으며, "sagemaker"용으로 태그가 지정된 키만 사용할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Model Registry 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 모델 레지스트리의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 SageMaker AI [Document history 페이지](doc-history.md)에서 RSS 피드를 구독하세요.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) - 기존 정책에 대한 업데이트 | 2 | `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` 및 `kms:Decrypt` 권한을 추가합니다. | 2024년 6월 6일 |
| AmazonSageMakerModelRegistryFullAccess - 새 정책 | 1 | 초기 정책 | 2023년 8월 12일 |