기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS SageMaker 노트북에 대한 관리형 정책
이러한 AWS 관리형 정책은 SageMaker 노트북을 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [SageMaker AI 노트북 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-notebooks-updates)
## AWS 관리형 정책: AmazonSageMakerNotebooksServiceRolePolicy
이 AWS 관리형 정책은 Amazon SageMaker 노트북을 사용하는 데 일반적으로 필요한 권한을 부여합니다. 이 정책은 Amazon SageMaker Studio Classic에 온보딩할 때 만들어지는 `AWSServiceRoleForAmazonSageMakerNotebooks`에 추가됩니다. 서비스 연결 역할에 대한 자세한 내용은 [서비스 연결 역할](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)섹션을 참조하세요. 자세한 내용은 [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)를 참조하세요.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `elasticfilesystem` - 보안 주체가 Amazon Elastic File System(EFS) 파일 시스템, 액세스 포인트 및 탑재 대상을 생성하고 삭제할 수 있도록 허용합니다. 이는 *ManagedByAmazonSageMakerResource* 키로 태그가 지정된 항목으로 제한됩니다. 보안 주체가 모든 EFS 파일 시스템, 액세스 포인트 및 탑재 대상을 설명할 수 있도록 허용합니다. 보안 주체가 EFS 액세스 포인트 및 탑재 대상에 대한 태그를 생성하거나 덮어쓸 수 있도록 허용합니다.
+ `ec2` - 보안 주체가 Amazon Elastic Compute Cloud(EC2) 인스턴스에 대한 네트워크 인터페이스 및 보안 그룹을 생성할 수 있도록 허용합니다. 또한 보안 주체가 이러한 리소스에 대한 태그를 생성하고 덮어쓸 수 있도록 허용합니다.
+ `sso` - 보안 주체가 AWS IAM Identity Center에 관리형 애플리케이션 인스턴스를 추가 및 삭제할 수 있도록 허용합니다.
+ `sagemaker` - 위탁자가 SageMaker AI 사용자 프로필 및 SageMaker AI 스페이스를 만들고 읽고 SageMaker AI 스페이스 및 SageMaker AI 앱을 삭제하도록 허용합니다.
+ `fsx` - 위탁자가 Amazon FSx for Lustre 파일 시스템을 설명하고 메타데이터를 사용하여 노트북에 탑재하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## SageMaker AI 노트북 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon SageMaker AI의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - 기존 정책에 대한 업데이트 | 10 | `fsx:DescribeFileSystems` 권한을 추가합니다. | 2024년 11월 14일 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - 기존 정책에 대한 업데이트 | 9 | `sagemaker:DeleteApp` 권한을 추가합니다. | 2024년 7월 24일 |
| AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트 | 8 | `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags`및 `sagemaker:AddTags`권한을 추가합니다. | 2024년 5월 22일 |
| AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트 | 7 | `elasticfilesystem:TagResource` 권한을 추가합니다. | 2023년 3월 9일 |
| AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트 | 6 | `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint`및 `elasticfilesystem:DescribeAccessPoints`권한 추가. | 2023년 1월 12일 |
| | | SageMaker AI는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 6월 1일 |