기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Amazon SageMaker AI에 대한 관리형 정책
사용자, 그룹 및 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더 쉽습니다. 팀에 필요한 권한만 제공하는 [IAM 고객 관리형 정책을 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)하기 위해서는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이러한 정책은 일반적인 사용 사례를 다루며 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책을](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 참조하세요.
AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스는 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 태스크를 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.
또한는 여러 서비스에 걸쳐 있는 직무에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 관리`ReadOnlyAccess` AWS 형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 시작하면는 새 작업 및 리소스에 대한 읽기 전용 권한을 AWS 추가합니다. 직무 정책의 목록과 설명은 IAM 사용 설명서의 [직무에 관한AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.**
**중요**
사용 사례를 수행할 수 있는 가장 제한된 정책을 사용하는 것이 좋습니다.
계정의 사용자에게 연결할 수 있는 다음 AWS 관리형 정책은 Amazon SageMaker AI에만 해당됩니다.
+ **`AmazonSageMakerFullAccess`** – Amazon SageMaker AI 및 SageMaker AI 지리 공간 리소스 및 지원되는 작업에 대한 전체 액세스 권한을 부여합니다. 제한 없는 Amazon S3 액세스를 제공하지만 특정 `sagemaker`태그가 포함된 버킷 및 객체를 지원합니다. 이 정책은 모든 IAM 역할을 Amazon SageMaker AI로 전달할 수 있도록 허용하지만 'AmazonSageMaker'가 포함된 IAM 역할만 AWS Glue AWS Step Functions, 및 AWS RoboMaker 서비스로 전달할 수 있도록 허용합니다.
+ **`AmazonSageMakerReadOnly`** - Amazon SageMaker AI 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.
다음 AWS 관리형 정책은 계정의 사용자에게 연결할 수 있지만 권장되지 않습니다.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) - 모든 AWS 서비스 및 계정 내 모든 리소스에 대한 모든 작업을 허용합니다.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist) – 데이터 사이언티스트가 마주하는 대부분의 사용 사례(주로 분석 및 비즈니스 인텔리전스)를 처리하는 폭넓은 권한을 부여합니다.
IAM 콘솔에 로그인하고 이 콘솔에서 정책을 검색하여 이러한 권한 정책을 검토할 수 있습니다.
필요에 따라 Amazon SageMaker AI 작업 및 리소스에 대한 권한을 허용하는 고유의 사용자 지정 IAM 정책을 생성할 수도 있습니다. 정책이 필요한 사용자 또는 그룹에 이러한 사용자 지정 정책을 연결할 수 있습니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS 관리형 정책: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS Amazon SageMaker Canvas에 대한 관리형 정책](security-iam-awsmanpol-canvas.md)
+ [AWS Amazon SageMaker 특성 저장소에 대한 관리형 정책](security-iam-awsmanpol-feature-store.md)
+ [AWS Amazon SageMaker 지리 공간에 대한 관리형 정책](security-iam-awsmanpol-geospatial.md)
+ [AWS Amazon SageMaker Ground Truth에 대한 관리형 정책](security-iam-awsmanpol-ground-truth.md)
+ [AWS Amazon SageMaker HyperPod에 대한 관리형 정책](security-iam-awsmanpol-hyperpod.md)
+ [AWS SageMaker AI 모델 거버넌스를 위한 관리형 정책](security-iam-awsmanpol-governance.md)
+ [AWS 모델 레지스트리에 대한 관리형 정책](security-iam-awsmanpol-model-registry.md)
+ [AWS SageMaker 노트북에 대한 관리형 정책](security-iam-awsmanpol-notebooks.md)
+ [AWS Amazon SageMaker 파트너 AI 앱에 대한 관리형 정책](security-iam-awsmanpol-partner-apps.md)
+ [AWS SageMaker Pipelines에 대한 관리형 정책](security-iam-awsmanpol-pipelines.md)
+ [AWS SageMaker 훈련 계획에 대한 관리형 정책](security-iam-awsmanpol-training-plan.md)
+ [AWS SageMaker 프로젝트 및 JumpStart에 대한 관리형 정책](security-iam-awsmanpol-sc.md)
+ [AWS 관리형 정책에 대한 SageMaker AI 업데이트](#security-iam-awsmanpol-updates)
## AWS 관리형 정책: AmazonSageMakerFullAccess
이 정책은 위탁자가 모든 Amazon SageMaker AI 및 SageMaker AI 지리 공간 리소스 및 작업에 대한 전체 액세스가 가능한 관리 권한을 부여합니다. 또한 이 정책은 관련 서비스에 대한 선택적 액세스를 제공합니다. 이 정책은 모든 IAM 역할을 Amazon SageMaker AI로 전달하도록 허용하지만 "AmazonSageMaker"가 포함된 IAM 역할만 AWS Glue AWS Step Functions및 AWS RoboMaker 서비스로 전달하도록 허용합니다. Amazon SageMaker AI 도메인을 생성할 권한은 포함되지 않습니다. 도메인을 생성하는 데 필요한 정책에 대한 자세한 내용은 [Amazon SageMaker AI 사전 조건 충족](gs-set-up.md)섹션을 참조하세요.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `application-autoscaling` - 위탁자가 SageMaker AI 실시간 추론 엔드포인트를 자동으로 규모 조정할 수 있습니다.
+ `athena` - 보안 주체가 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리할 수 있도록 허용합니다 Amazon Athena.
+ `aws-marketplace` - 보안 주체가 AWS AI Marketplace 구독을 볼 수 있도록 허용합니다. AWS Marketplace에서 구독된 SageMaker AI 소프트웨어에 액세스하려면 이 정보가 필요합니다.
+ `cloudformation` - 보안 주체가 SageMaker AI JumpStart 솔루션 및 파이프라인을 사용하기 위한 AWS CloudFormation 템플릿을 가져올 수 있도록 허용합니다. SageMaker JumpStart는 SageMaker AI를 다른 AWS 서비스에 연결하는 종합적인 기계 학습 솔루션을 실행하는 데 필요한 리소스를 생성합니다. SageMaker AI Pipelines은 Service Catalog의 지원을 받는 새 프로젝트를 생성합니다.
+ `cloudwatch` - 보안 주체가 CloudWatch 지표를 게시하고, 경보와 상호 작용하고, 계정의 CloudWatch Logs에 로그를 업로드할 수 있습니다.
+ `codebuild` - 보안 주체가 SageMaker AI 파이프라인 및 프로젝트에 대한 AWS CodeBuild 아티팩트를 저장할 수 있도록 허용합니다.
+ `codecommit` - SageMaker AI 노트북 인스턴스와 AWS CodeCommit 통합하는 데 필요합니다.
+ `cognito-idp` - 프라이빗 작업 인력 및 작업 팀을 정의하기 위한 Amazon SageMaker Ground Truth에 필요합니다.
+ `ec2` - SageMaker AI 작업, 모델, 엔드포인트 및 노트북 인스턴스에 대해 Amazon VPC를 지정할 때 SageMaker AI가 Amazon EC2 리소스 및 네트워크 인터페이스를 관리하는 데 필요합니다.
+ `ecr` - Amazon SageMaker Studio Classic(사용자 지정 이미지), 훈련, 처리, 배치 추론 및 추론 엔드포인트에 대한 Docker 아티팩트를 가져오고 저장하는 데 필요합니다. 이는 SageMaker AI에서 자체 컨테이너를 사용할 때도 필요합니다. 사용자를 대신하여 사용자 지정 이미지를 생성하고 제거하려면 SageMaker AI JumpStart 솔루션에 대한 추가 권한이 필요합니다.
+ `elasticfilesystem` - 보안 주체가 Amazon Elastic File System에 액세스할 수 있도록 허용합니다. 이는 SageMaker AI가 기계 학습 모델 훈련을 위해 Amazon Elastic File System의 데이터 소스를 사용하는 데 필요합니다.
+ `fsx` - 보안 주체에게 Amazon FSx에 대한 액세스 권한을 허용합니다. 이는 SageMaker AI가 기계 학습 모델 훈련을 위해 Amazon FSx의 데이터 소스를 사용하는 데 필요합니다.
+ `glue` - SageMaker AI 노트북 인스턴스 내에서의 추론 파이프라인 사전 처리에 필요합니다.
+ `groundtruthlabeling` - Ground Truth 레이블 지정 작업에 필요합니다. `groundtruthlabeling` 엔드포인트는 Ground Truth 콘솔을 통해 액세스할 수 있습니다.
+ `iam` - SageMaker AI 콘솔에 사용 가능한 IAM 역할에 대한 액세스 권한을 부여하고 서비스 연결 역할을 생성하는 데 필요합니다.
+ `kms` - SageMaker AI 콘솔에 사용 가능한 AWS KMS 키에 대한 액세스 권한을 부여하고 작업 및 엔드포인트에서 지정된 AWS KMS 별칭에 대해 해당 키를 검색하는 데 필요합니다.
+ `lambda` - 보안 주체가 AWS Lambda 함수 목록을 간접 호출하고 가져올 수 있습니다.
+ `logs` - SageMaker AI 작업 및 엔드포인트가 로그 스트림을 게시하도록 허용하는 데 필요합니다.
+ `redshift` - 보안 주체가 Amazon Redshift 클러스터 자격 증명에 액세스할 수 있도록 허용합니다.
+ `redshift-data` - 보안 주체가 Amazon Redshift의 데이터를 사용하여 명령문을 실행, 설명 및 취소하고, 명령문 결과를 가져오고, 스키마와 테이블을 나열할 수 있도록 허용합니다.
+ `robomaker` - 보안 주체가 AWS RoboMaker 시뮬레이션 애플리케이션 및 작업을 생성, 설명 가져오기 및 삭제할 수 있는 전체 액세스 권한을 갖도록 허용합니다. 이는 노트북 인스턴스에서 보강 학습 예제를 실행하는 데도 필요합니다.
+ `s3, s3express` - 위탁자가 SageMaker AI와 관련된 Amazon S3 및 Amazon S3 Express 리소스에 대한 전체 액세스 권한을 갖도록 허용하지만 Amazon S3 또는 Amazon S3 Express 전체에 대한 액세스는 허용하지 않습니다.
+ `sagemaker` - 위탁자가 SageMaker AI 사용자 프로필에 태그를 나열하고 SageMaker AI 앱 및 스페이스에 태그를 추가하도록 허용합니다. sagemaker:WorkteamType 'private-crowd' 또는 'vendor-crowd'의 SageMaker AI 흐름 정의에만 액세스하도록 허용합니다. 훈련 계획 기능에 액세스할 수 있는 모든 AWS 리전에서 SageMaker 훈련 작업 및 SageMaker HyperPod 클러스터에서 SageMaker AI 훈련 계획 및 예약 용량을 사용하고 설명할 수 있습니다.
+ `sagemaker` 및 `sagemaker-geospatial` - 위탁자에게 SageMaker AI 도메인 및 사용자 프로필에 대한 읽기 전용 액세스를 허용합니다.
+ `secretsmanager` – 보안 주체에게 AWS Secrets Manager에 대한 전체 액세스 권한을 허용합니다. 보안 주체는 데이터베이스와 다른 서비스의 자격 증명을 안전하게 암호화, 저장 및 검색할 수 있습니다. 이는 GitHub를 사용하는 SageMaker AI 코드 리포지토리가 있는 SageMaker AI 노트북 인스턴스에도 필요합니다.
+ `servicecatalog` - 보안 주체가 Service Catalog를 사용할 수 있도록 허용합니다. 보안 주체는 AWS 리소스를 사용하여 배포된 서버, 데이터베이스, 웹 사이트 또는 애플리케이션과 같은 프로비저닝된 제품을 생성, 목록 가져오기, 업데이트 또는 종료할 수 있습니다. 이는 SageMaker AI JumpStart 및 프로젝트에서 Service Catalog 제품을 찾고 읽고 사용자에서 AWS 리소스를 시작하는 데 필요합니다.
+ `sns` - 보안 주체가 Amazon SNS 주제 목록을 볼 수 있도록 허용합니다. 이는 사용자에게 추론이 완료되었음을 알리기 위해 비동기 추론이 활성화된 엔드포인트에 필요합니다.
+ `states` - SageMaker AI JumpStart 및 파이프라인이 Service Catalog를 사용하여 Step Function 리소스를 생성하는 데 필요합니다.
+ `tag` - SageMaker AI Pipelines이 Studio에서 렌더링하는 데 필요합니다. Studio Classic에는 특정 `sagemaker:project-id` 태그 키로 태그가 지정된 리소스가 필요합니다. 이를 위해서는 `tag:GetResources`권한이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerReadOnly
이 정책은 AWS Management Console 및 SDK를 통해 Amazon SageMaker AI에 대한 읽기 전용 액세스 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `application-autoscaling` - 사용자가 확장 가능한 SageMaker AI 실시간 추론 엔드포인트에 대한 설명을 찾아볼 수 있도록 허용합니다.
+ `aws-marketplace` - 사용자가 AWS AI Marketplace 구독을 볼 수 있도록 허용합니다.
+ `cloudwatch` - 사용자가 CloudWatch 경보를 수신할 수 있도록 허용합니다.
+ `cognito-idp` - Amazon SageMaker Ground Truth가 프라이빗 작업 인력 및 작업 팀에 대한 설명과 목록을 찾아보는 데 필요합니다.
+ `ecr` - 훈련 및 추론을 위한 도커 아티팩트를 가져오고 저장하는 데 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS Amazon SageMaker Canvas에 대한 관리형 정책
이러한 AWS 관리형 정책은 Amazon SageMaker Canvas를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS 관리형 정책: AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS 관리형 정책: AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS 관리형 정책: AmazonSageMakerCanvasAIServicesAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS 관리형 정책: AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS 관리형 정책: AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS 관리형 정책: AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Amazon SageMaker Canvas 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-canvas-updates)
## AWS 관리형 정책: AmazonSageMakerCanvasFullAccess
이 정책은 AWS Management Console 및 SDK를 통해 Amazon SageMaker Canvas에 대한 전체 액세스를 허용하는 권한을 부여합니다. 또한이 정책은 관련 서비스[예: Amazon Simple Storage Service(Amazon S3), AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud(Amazon VPC), Amazon Elastic Container Registry(Amazon ECR), Amazon CloudWatch Logs, Amazon Redshift AWS Secrets Manager, Amazon SageMaker Autopilot, SageMaker Model Registry, Amazon Forecast]에 대한 선택적 액세스를 제공합니다.
이 정책은 고객이 SageMaker Canvas의 모든 기능을 실험하고 시작할 수 있도록 돕기 위한 것입니다. 보다 세밀한 제어를 위해 고객이 프로덕션 워크로드로 이동할 때 자체적으로 범위가 축소된 버전을 빌드하는 것이 좋습니다. 자세한 내용은 [IAM 정책 유형: 사용 방법 및 시기](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/)를 참조하세요.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `sagemaker` - 위탁자가 ARN에 'Canvas', 'canvas' 또는 'model-compilation'이 포함된 리소스에서 SageMaker AI 모델을 생성하고 호스팅할 수 있습니다. 또한 사용자는 SageMaker Canvas 모델을 동일한 AWS 계정의 SageMaker AI 모델 레지스트리에 등록할 수 있습니다. 또한 위탁자가 SageMaker 훈련, 변환 및 AutoML 작업을 만들고 관리하도록 허용합니다.
+ `application-autoscaling` - 위탁자가 SageMaker AI 추론 엔드포인트를 자동으로 규모 조정할 수 있도록 허용합니다.
+ `athena` - 위탁자가 Amazon Athena에서 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리하고 카탈로그의 테이블에 액세스하도록 허용합니다.
+ `cloudwatch` – 위탁자가 Amazon CloudWatch 경보를 만들고 관리하도록 허용합니다.
+ `ec2` - 보안 주체가 Amazon VPC 엔드포인트를 생성할 수 있도록 허용합니다.
+ `ecr` - 보안 주체가 컨테이너 이미지에 대한 정보를 가져올 수 있도록 허용합니다.
+ `emr-serverless` - 위탁자가 Amazon EMR Serverless 애플리케이션 및 작업 실행을 만들고 관리하도록 허용합니다. 또한 위탁자가 SageMaker Canvas 리소스에 태그를 지정하도록 허용합니다.
+ `forecast` - 보안 주체가 Amazon Forecast를 사용할 수 있도록 허용합니다.
+ `glue` - 보안 주체가 AWS Glue 카탈로그의 테이블, 데이터베이스 및 파티션을 검색할 수 있도록 허용합니다.
+ `iam` - 위탁자가 Amazon SageMaker AI, Amazon Forecast 및 Amazon EMR Serverless에 IAM 역할을 전달하도록 허용합니다. 또한 위탁자가 서비스 연결 역할을 만들도록 허용합니다.
+ `kms` - 보안 주체가 태그가 지정된 AWS KMS 키를 읽을 수 있도록 허용합니다`Source:SageMakerCanvas`.
+ `logs` - 보안 주체가 훈련 작업 및 엔드포인트의 로그를 게시할 수 있도록 허용합니다.
+ `quicksight` - 보안 주체가 Quick 계정의 네임스페이스를 나열할 수 있도록 허용합니다.
+ `rds` - 보안 주체가 프로비저닝된 Amazon RDS 인스턴스에 대한 정보를 반환할 수 있도록 허용합니다.
+ `redshift` - 보안 주체가 모든 Amazon Redshift 클러스터의 “sagemaker\$1access\$1” dbuser에 대한 자격 증명을 얻을 수 있도록 허용합니다(해당 사용자가 있는 경우).
+ `redshift-data` - 보안 주체가 Amazon Redshift 데이터 API를 사용하여 Amazon Redshift에서 쿼리를 실행할 수 있도록 허용합니다. 이렇게 하면 Redshift 데이터 API 자체에만 액세스할 수 있으며 Amazon Redshift 클러스터에 직접 액세스할 수는 없습니다. 자세한 내용은 [Amazon Redshift 데이터 API 사용](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html)을 참조하세요.
+ `s3` - 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름에 “SageMaker", "Sagemaker" 또는 "sagemaker"가 포함된 객체로 제한됩니다. 또한 보안 주체는 특정 리전에서 ARN이 “jumpstart-cache-prod-”로 시작하는 Amazon S3 버킷에서 객체를 검색할 수 있도록 허용합니다.
+ `secretsmanager` - 보안 주체가 Secrets Manager를 사용하여 고객 자격 증명을 저장하여 Snowflake 데이터베이스에 연결할 수 있도록 허용합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS 관리형 정책: AmazonSageMakerCanvasDataPrepFullAccess
이 정책은 Amazon SageMaker Canvas의 데이터 준비 기능에 대한 전체 액세스를 허용하는 권한을 부여합니다. 또한이 정책은 데이터 준비 기능[예: Amazon Simple Storage Service(Amazon S3),(IAM), Amazon EMR, Amazon EventBridge, Amazon Redshift, AWS Identity and Access Management ( AWS Key Management Service AWS KMS) 및]과 통합되는 서비스에 대한 최소 권한 권한을 제공합니다 AWS Secrets Manager.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `sagemaker` – 위탁자가 처리 작업, 훈련 작업, 추론 파이프라인, AutoML 작업 및 특성 그룹에 액세스하도록 허용합니다.
+ `athena` - 위탁자가 Amazon Athena에서 데이터 카탈로그, 데이터베이스 및 테이블 메타데이터 목록을 쿼리하도록 허용합니다.
+ `elasticmapreduce` - 위탁자가 Amazon EMR 클러스터를 읽고 나열하도록 허용합니다.
+ `emr-serverless` - 위탁자가 Amazon EMR Serverless 애플리케이션 및 작업 실행을 만들고 관리하도록 허용합니다. 또한 위탁자가 SageMaker Canvas 리소스에 태그를 지정하도록 허용합니다.
+ `events` - 위탁자가 예약된 작업에 대한 Amazon EventBridge 규칙을 만들고 읽고 업데이트하고 대상을 추가하도록 허용합니다.
+ `glue` - 보안 주체가 AWS Glue 카탈로그의 데이터베이스에서 테이블을 가져오고 검색할 수 있습니다.
+ `iam` - 위탁자가 Amazon SageMaker AI, EventBridge 및 Amazon EMR Serverless에 IAM 역할을 전달하도록 허용합니다. 또한 위탁자가 서비스 연결 역할을 만들도록 허용합니다.
+ `kms` - 보안 주체가 작업 및 엔드포인트에 저장된 AWS KMS 별칭을 검색하고 연결된 KMS 키에 액세스할 수 있도록 허용합니다.
+ `logs` - 보안 주체가 훈련 작업 및 엔드포인트의 로그를 게시할 수 있도록 허용합니다.
+ `redshift` - 위탁자가 Amazon Redshift 데이터베이스에 액세스하기 위한 자격 증명을 가져오도록 허용합니다.
+ `redshift-data` - 위탁자가 Amazon Redshift 쿼리를 실행, 취소, 설명, 나열하고 결과를 가져오도록 허용합니다. 또한 위탁자가 Amazon Redshift 스키마 및 테이블을 나열하도록 허용합니다.
+ `s3` - 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름에 'SageMaker', 'Sagemaker' 또는 'sagemaker'가 포함되거나 대소문자 구분 없이 'SageMaker' 태그가 지정된 객체로 제한됩니다.
+ `secretsmanager` - 위탁자가 Secrets Manager를 사용하여 고객 데이터베이스 자격 증명을 저장하고 검색하도록 허용합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS 관리형 정책: AmazonSageMakerCanvasDirectDeployAccess
이 정책은 Amazon SageMaker Canvas가 Amazon SageMaker AI 엔드포인트를 생성하고 관리하는 데 필요한 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `sagemaker` - 위탁자가 'Canvas' 또는 'canvas'로 시작하는 ARN 리소스 이름을 사용하여 SageMaker AI 엔드포인트를 생성하고 관리할 수 있도록 허용합니다.
+ `cloudwatch` - 보안 주체가 Amazon CloudWatch 지표 데이터를 검색할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerCanvasAIServicesAccess
이 정책은 Amazon SageMaker Canvas에 Amazon Textract, Amazon Rekognition, Amazon Comprehend 및 Amazon Bedrock을 사용할 수 있는 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `textract` - 보안 주체가 Amazon Textract를 사용하여 이미지 내에서 문서, 비용 및 보안 인증을 탐지할 수 있도록 허용합니다.
+ `rekognition` - 보안 주체가 Amazon Rekognition을 사용하여 이미지 내의 레이블과 텍스트를 감지할 수 있도록 허용합니다.
+ `comprehend` - 보안 주체가 Amazon Comprehend를 사용하여 텍스트 문서 내에서 감정 및 모국어, 이름이 지정된 개인 식별 정보(PII) 항목을 탐지할 수 있도록 허용합니다.
+ `bedrock` - 보안 주체가 Amazon Bedrock을 사용하여 파운데이션 모델을 나열하고 호출할 수 있도록 허용합니다.
+ `iam` – 위탁자가 IAM 역할을 Amazon Bedrock에 전달하도록 허용합니다.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS 관리형 정책: AmazonSageMakerCanvasBedrockAccess
이 정책은 Amazon Bedrock과 함께 Amazon SageMaker Canvas를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `s3` - 위탁자가 'sagemaker-\$1/Canvas' 디렉터리에서 Amazon S3 버킷의 객체를 추가하고 검색하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerCanvasForecastAccess
이 정책은 Amazon Forecast와 함께 Amazon SageMaker Canvas 사용하는 데 일반적으로 필요한 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `s3` - 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름이 “sagemaker-”로 시작하는 객체로 제한됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy
이 정책은 Amazon SageMaker Canvas에서 대규모 데이터 처리에 사용하는 Amazon S3와 같은 AWS 서비스에 대해 Amazon EMR Serverless에 권한을 부여합니다. Amazon SageMaker
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `s3` - 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 이름에 'SageMaker' 또는 'sagemaker'가 포함되거나 대소문자 구분 없이 'SageMaker' 태그가 지정된 객체로 제한됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerCanvasSMDataScienceAssistantAccess
이 정책은 Amazon SageMaker Canvas의 사용자에게 Amazon Q Developer와의 대화를 시작할 수 있는 권한을 부여합니다. 이 기능을 사용하려면 Amazon Q Developer와 SageMaker AI Data Science Assistant 서비스 둘 다에 대한 권한이 필요합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `q` - 위탁자가 Amazon Q Developer에 프롬프트를 보낼 수 있도록 허용합니다.
+ `sagemaker-data-science-assistant` - 위탁자가 SageMaker Canvas Data Science Assistant 서비스에 프롬프트를 보낼 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Amazon SageMaker Canvas 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 SageMaker Canvas의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - 기존 정책에 대한 업데이트 | 2 | `q:StartConversation` 권한을 추가합니다. | 2025년 1월 14일 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - 새 정책 | 1 | 초기 정책 | 2024년 12월 4일 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) - 기존 정책에 대한 업데이트 | 4 | `IAMPassOperationForEMRServerless` 권한에 리소스를 추가합니다. | 2024년 8월 16일 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) - 기존 정책에 대한 업데이트 | 11 | `IAMPassOperationForEMRServerless` 권한에 리소스를 추가합니다. | 2024년 8월 15일 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy) - 새 정책 | 1 | 초기 정책 | 2024년 7월 26일 |
| AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책 업데이트 | 3 | `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` 및 `emr-serverless:TagResource` 권한을 추가합니다. | 2024년 7월 18일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 10 | `application-autoscaling:DescribeScalingActivities`, `iam:PassRole`, `kms:DescribeKey` 및 `quicksight:ListNamespaces` 권한을 추가합니다. `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` 및 `sagemaker:StopTransformJob` 권한을 추가합니다. `athena:ListTableMetadata`, `athena:ListDataCatalogs`및 `athena:ListDatabases`권한 추가. `glue:GetDatabases`, `glue:GetPartitions`및 `glue:GetTables`권한 추가. `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` 및 `emr-serverless:TagResource` 권한을 추가합니다. | 2024년 7월 9일 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess) - 새 정책 | 1 | 초기 정책 | 2024년 2월 2일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 9 | `sagemaker:ListEndpoints` 권한을 추가합니다. | 2024년 1월 24일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 8 | `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` 및 `iam:CreateServiceLinkedRole` 권한을 추가합니다. | 2023년 12월 8일 |
| AmazonSageMakerCanvasDataPrepFullAccess - 기존 정책 업데이트 | 2 | 이전 정책인 버전 1의 의도를 적용하기 위한 소규모 업데이트입니다. 추가 또는 삭제된 권한은 없습니다. | 2023년 12월 7일 |
| [AmazonSageMakerCanvasAIServicesAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) - 기존 정책에 대한 업데이트 | 3 | `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` 및 `iam:PassRole` 권한을 추가합니다. | 2023년 11월 29일 |
| AmazonSageMakerCanvasDataPrepFullAccess - 새 정책 | 1 | 초기 정책 | 2023년 10월 26일 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess) - 새 정책 | 1 | 초기 정책 | 2023년 10월 6일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 7 | `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel`및 `sagemaker:InvokeEndpoint`권한 추가. 또한 특정 리전의 JumpStart 리소스에 대한 `s3:GetObject` 권한을 추가합니다. | 2023년 9월 29일 |
| AmazonSageMakerCanvasAIServicesAccess - 기존 정책 업데이트 | 2 | `bedrock:InvokeModel` 및 `bedrock:ListFoundationModels`권한을 추가합니다. | 2023년 9월 29일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 6 | `rds:DescribeDBInstances` 권한을 추가합니다. | 2023년 8월 29일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 5 | `application-autoscaling:PutScalingPolicy` 및 `application-autoscaling:RegisterScalableTarget`권한을 추가합니다. | 2023년 7월 24일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 4 | `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages`및 `sagemaker:ListModelPackageGroups`권한을 추가합니다. | 2023년 5월 4일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 3 | `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2`및 `glue:SearchTables`권한 추가. | 2023년 3월 24일 |
| AmazonSageMakerCanvasAIServicesAccess - 새 정책 | 1 | 초기 정책 | 2023년 3월 23일 |
| AmazonSageMakerCanvasFullAccess - 기존 정책에 대한 업데이트 | 2 | `forecast:DeleteResourceTree` 권한을 추가합니다. | 2022년 12월 6일 |
| AmazonSageMakerCanvasFullAccess - 새 정책 | 1 | 초기 정책 | 2022년 9월 8일 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess) - 새 정책 | 1 | 초기 정책 | 2022년 8월 24일 |
# AWS Amazon SageMaker 특성 저장소에 대한 관리형 정책
이러한 AWS 관리형 정책은 특성 저장소를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Amazon SageMaker Feature Store 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-feature-store-updates)
## AWS 관리형 정책: AmazonSageMakerFeatureStoreAccess
이 정책은 Amazon SageMaker 특성 저장소 특성 그룹에 오프라인 저장소를 활성화하는 데 필요한 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `s3` - 보안 주체가 오프라인 저장소 Amazon S3 버킷에 데이터를 쓸 수 있도록 허용합니다. 이러한 버킷은 이름에 “SageMaker", "Sagemaker" 또는 "sagemaker"가 포함된 것으로 제한됩니다.
+ `s3` - 보안 주체가 오프라인 저장소 S3 버킷의 `metadata`폴더에 유지되는 기존 매니페스트 파일을 읽을 수 있도록 허용합니다.
+ `glue` - 보안 주체가 AWS Glue 테이블을 읽고 업데이트할 수 있도록 허용합니다. 이러한 권한은 `sagemaker_featurestore`폴더 내 테이블로 제한됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker Feature Store 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 특성 저장소의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 SageMaker AI [Document history 페이지](doc-history.md)에서 RSS 피드를 구독하세요.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) - 기존 정책에 대한 업데이트 | 3 | `s3:GetObject`, `glue:GetTable`및 `glue:UpdateTable`권한 추가. | 2022년 12월 5일 |
| AmazonSageMakerFeatureStoreAccess - 기존 정책에 대한 업데이트 | 2 | `s3:PutObjectAcl` 권한을 추가합니다. | 2021년 2월 23일 |
| AmazonSageMakerFeatureStoreAccess - 새 정책 | 1 | 초기 정책 | 2020년 12월 1일 |
# AWS Amazon SageMaker 지리 공간에 대한 관리형 정책
이러한 AWS 관리형 정책은 SageMaker 지리 공간을 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS 관리형 정책: AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Amazon SageMaker AI 지리 공간 관리형 정책에 대한 Amazon SageMaker 업데이트](#security-iam-awsmanpol-geospatial-updates)
## AWS 관리형 정책: AmazonSageMakerGeospatialFullAccess
이 정책은 AWS Management Console 및 SDK를 통해 Amazon SageMaker 지리 공간에 대한 전체 액세스를 허용하는 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `sagemaker-geospatial` - 보안 주체가 모든 SageMaker 지리 공간 리소스에 대한 모든 액세스 권한을 허용합니다.
+ `iam` - 보안 주체가 IAM 역할을 SageMaker 지리 공간으로 전달할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerGeospatialExecutionRole
이 정책은 SageMaker 지리 공간 사용에 일반적으로 필요한 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `s3` - 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 오브젝트는 이름에 “SageMaker", "Sagemaker" 또는 "sagemaker”가 포함된 객체로 제한됩니다.
+ `sagemaker-geospatial` - 보안 주체는 `GetEarthObservationJob`API를 통해 지구 관측 작업에 액세스할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI 지리 공간 관리형 정책에 대한 Amazon SageMaker 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 SageMaker 지리 공간의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole) - 업데이트된 정책 | 2 | `sagemaker-geospatial:GetRasterDataCollection` 권한을 추가합니다. | 2023년 5월 10일 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess) - 새 정책 | 1 | 초기 정책 | 2022년 11월 30일 |
| AmazonSageMakerGeospatialExecutionRole - 새 정책 | 1 | 초기 정책 | 2022년 11월 30일 |
# AWS Amazon SageMaker Ground Truth에 대한 관리형 정책
이러한 AWS 관리형 정책은 SageMaker AI Ground Truth를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [SageMaker AI Ground Truth 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-groundtruth-updates)
## AWS 관리형 정책: AmazonSageMakerGroundTruthExecution
이 AWS 관리형 정책은 SageMaker AI Ground Truth를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `lambda` - 보안 주체가 이름에 "sagemaker" (case-insensitive), "GtRecipe" 또는 "LabelingFunction"이 포함된 Lambda 함수를 간접 호출할 수 있도록 허용합니다.
+ `s3` - 보안 주체가 Amazon S3 버킷에서 객체를 추가하고 검색할 수 있도록 허용합니다. 이러한 객체는 대소문자를 구분하지 않고 이름에 "groundtruth" 또는 "sagemaker"가 포함되거나 “SageMaker” 태그가 지정된 객체로 제한됩니다.
+ `cloudwatch` - 보안 주체가 CloudWatch 지표를 게시할 수 있도록 허용합니다.
+ `logs` - 보안 주체가 로그 스트림을 생성 및 액세스하고 로그 이벤트를 게시할 수 있도록 허용합니다.
+ `sqs` - 보안 주체가 Amazon SQS 대기열을 생성하고 Amazon SQS 메시지를 보내고 받을 수 있도록 허용합니다. 이러한 권한은 이름에 “GroundTruth”가 포함된 대기열로 제한됩니다.
+ `sns` - 보안 주체가 대소문자를 구분하지 않고 이름에 "groundtruth" 또는 "sagemaker"가 포함된 Amazon SNS 주제를 구독하고 메시지를 게시할 수 있도록 허용합니다.
+ `ec2` - 보안 주체가 VPC 엔드포인트 서비스 이름에 “sagemaker-task-resources” 또는 “labeling”이 포함된 Amazon VPC 엔드포인트를 생성, 설명 및 삭제할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## SageMaker AI Ground Truth 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon SageMaker AI Ground Truth의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) - 기존 정책에 대한 업데이트 | 3 | `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints`및 `ec2:DeleteVpcEndpoints`권한 추가. | 2022년 4월 29일 |
| AmazonSageMakerGroundTruthExecution - 기존 정책에 대한 업데이트 | 2 | `sqs:SendMessageBatch` 권한을 제거합니다. | 2022년 4월 11일 |
| AmazonSageMakerGroundTruthExecution - 새 정책 | 1 | 초기 정책 | 2020년 7월 20일 |
# AWS Amazon SageMaker HyperPod에 대한 관리형 정책
다음 AWS 관리형 정책은 Amazon SageMaker HyperPod를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔 또는 HyperPod 서비스 연결 역할에서 생성된 실행 역할에 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS 관리형 정책: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS 관리형 정책: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS 관리형 정책: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [SageMaker HyperPod 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-hyperpod-updates)
# AWS 관리형 정책: AmazonSageMakerHyperPodTrainingOperatorAccess
이 정책은 SageMaker HyperPod 훈련 운영자를 설정하는 데 필요한 관리 권한을 제공합니다. 이를 통해 SageMaker HyperPod 및 Amazon EKS 추가 기능에 액세스할 수 있습니다. 이 정책에는 계정의 SageMaker HyperPod 리소스를 설명할 수 있는 권한이 포함되어 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `sagemaker:DescribeClusterNode` - 사용자가 HyperPod 클러스터에 대한 정보를 반환할 수 있도록 허용합니다.
이 정책의 권한을 보려면 AWS 관리형 정책 참조의 [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)를 참조하세요.
# AWS 관리형 정책: AmazonSageMakerHyperPodObservabilityAdminAccess
이 정책은 Amazon SageMaker HyperPod 관찰성을 설정하는 데 필요한 관리 권한을 제공합니다. 이를 통해 Amazon Managed Service for Prometheus, Amazon Managed Grafana 및 Amazon Elastic Kubernetes Service 추가 기능에 액세스할 수 있습니다. 이 정책에는 계정의 모든 Amazon Managed Grafana 작업 영역에서 ServiceAccountTokens을 통한 Grafana HTTP API에 대한 광범위한 액세스도 포함됩니다.
**권한 세부 정보**
다음 목록은 이 정책에 포함된 권한의 개요를 제공합니다.
+ `prometheus` - Amazon Managed Service for Prometheus 작업 영역 및 규칙 그룹을 생성하고 관리합니다.
+ `grafana` - Amazon Managed Grafana 작업 영역 및 서비스 계정을 생성하고 관리합니다.
+ `eks` - `amazon-sagemaker-hyperpod-observability` Amazon EKS 추가 기능을 생성하고 관리합니다.
+ `iam` - 특정 IAM 서비스 역할을 Amazon Managed Grafana 및 Amazon EKS에 전달합니다.
+ `sagemaker` - SageMaker HyperPod 클러스터를 나열하고 설명합니다.
+ `sso` - Amazon Managed Grafana 설정을 위한 IAM Identity Center 애플리케이션 인스턴스를 생성하고 관리합니다.
+ `tag` - Amazon Managed Service for Prometheus, Amazon Managed Grafana 및 Amazon EKS 추가 기능 리소스에 태그를 지정합니다.
정책 JSON을 보려면 [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html)를 참조하세요.
# AWS 관리형 정책: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod는 역할에 `AmazonSageMakerHyperPodServiceRolePolicy`가 연결된 `AWSServiceRoleForSageMakerHyperPod`라는 서비스 연결 역할을 만들고 사용합니다. 이 정책은 Amazon SageMaker HyperPod에 Amazon EKS 및 Amazon CloudWatch와 같은 관련 AWS 서비스에 대한 권한을 부여합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 SageMaker HyperPod를 더 쉽게 설정할 수 있습니다. SageMaker HyperPod가 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, SageMaker HyperPod만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 SageMaker HyperPod 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.
`AmazonSageMakerHyperPodServiceRolePolicy`는 SageMaker HyperPod가 지정된 리소스에서 사용자를 대신해 다음 작업을 완료하도록 허용합니다.
** 권한 세부 정보**
이 서비스 연결 역할 정책에는 다음 권한이 포함됩니다.
+ `eks` – 위탁자가 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터 정보를 읽도록 허용합니다.
+ `logs` - 위탁자가 Amazon CloudWatch 로그 스트림을 `/aws/sagemaker/Clusters`에 게시하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
사용자, 그룹 또는 역할이 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 사용 권한을 구성해야 합니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.
## SageMaker HyperPod에 대한 서비스 연결 역할 만들기
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. SageMaker AI 콘솔 AWS CLI, 또는 AWS SDKs를 사용하여 SageMaker HyperPod 클러스터를 생성하면 SageMaker HyperPod가 서비스 연결 역할을 생성합니다.
이 서비스 연결 역할을 삭제했지만 다시 만들어야 하는 경우 동일한 프로세스(새로운 SageMaker HyperPod 클러스터 만들기)를 사용하여 계정에서 역할을 다시 만들 수 있습니다.
## SageMaker HyperPod에 대한 서비스 연결 역할 편집
SageMaker HyperPod는 `AWSServiceRoleForSageMakerHyperPod` 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## SageMaker HyperPod에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
**서비스 연결 역할을 사용하여 SageMaker HyperPod 클러스터 리소스를 삭제하는 방법**
다음 옵션 중 하나를 사용하여 SageMaker HyperPod 클러스터 리소스를 삭제합니다.
+ SageMaker AI 콘솔을 사용하여 [SageMaker HyperPod 클러스터 삭제](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster)
+ [를 사용하여 SageMaker HyperPod 클러스터 삭제](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) AWS CLI
**참고**
리소스를 삭제하려 할 때 SageMaker HyperPod 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 `AWSServiceRoleForSageMakerHyperPod` 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
## SageMaker HyperPod 서비스 연결 역할이 지원되는 리전
SageMaker HyperPod는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [Prerequisites for SageMaker HyperPod](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html)를 참조하세요.
# AWS 관리형 정책: AmazonSageMakerClusterInstanceRolePolicy
이 정책은 Amazon SageMaker HyperPod를 사용하는 데 일반적으로 필요한 권한을 부여합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `cloudwatch` - 위탁자가 Amazon CloudWatch 지표를 게시하도록 허용합니다.
+ `logs` - 위탁자가 Amazon CloudWatch 로그 스트림을 게시하도록 허용합니다.
+ `s3` – 위탁자가 계정의 Amazon S3 버킷에서 수명 주기 스크립트 파일을 나열하고 검색하도록 허용합니다. 이러한 버킷은 이름이 'sagemaker-'로 시작하는 버킷으로 제한됩니다.
+ `ssmmessages` - 위탁자가 AWS Systems Manager에 대한 연결을 열도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## SageMaker HyperPod 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 SageMaker HyperPod의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 SageMaker AI [Document history 페이지](doc-history.md)에서 RSS 피드를 구독하세요.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) - 새 정책 | 1 | 초기 정책 | 2025년 8월 22일 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) - 업데이트된 정책 | 2 | 역할 범위 축소를 수정하여 `service-role` 접두사를 포함하도록 정책을 업데이트했습니다. 엔드투엔드 관리 작업에 필요한 `eks:DeletePodIdentityAssociation` 및 `eks:UpdatePodIdentityAssociation`에 대한 권한도 추가했습니다. | 2025년 8월 19일 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) - 새 정책 | 1 | 초기 정책 | 2025년 7월 10일 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) - 새 정책 | 1 | 초기 정책 | 2024년 9월 9일 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) - 새 정책 | 1 | 초기 정책 | 2023년 11월 29일 |
# AWS SageMaker AI 모델 거버넌스를 위한 관리형 정책
이 AWS 관리형 정책은 SageMaker AI 모델 거버넌스를 사용하는 데 필요한 권한을 추가합니다. 이 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [SageMaker AI 모델 거버넌스 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-governance-updates)
## AWS 관리형 정책: AmazonSageMakerModelGovernanceUseAccess
이 AWS 관리형 정책은 모든 Amazon SageMaker AI 거버넌스 기능을 사용하는 데 필요한 권한을 부여합니다. 이 정책은 AWS 계정에서 사용할 수 있습니다.
이 정책에는 다음 권한이 포함되어 있습니다.
+ `s3` - Amazon S3에서 객체를 검색합니다. 검색 가능한 객체는 대소문자를 구분하지 않는 이름에 문자열`"sagemaker"`가 포함된 객체로 제한됩니다.
+ `kms` - 콘텐츠 암호화에 사용할 AWS KMS 키를 나열합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## SageMaker AI 모델 거버넌스 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 SageMaker AI 모델 거버넌스의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 SageMaker AI [Document history 페이지](doc-history.md)에서 RSS 피드를 구독하세요.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) - 기존 정책에 대한 업데이트 | 3 | 문 ID(`Sid`)를 추가합니다. | 2024년 6월 4일 |
| AmazonSageMakerModelGovernanceUseAccess - 기존 정책 업데이트 | 2 | `sagemaker:DescribeModelPackage` 및 `DescribeModelPackageGroup`권한을 추가합니다. | 2023년 7월 17일 |
| AmazonSageMakerModelGovernanceUseAccess - 새 정책 | 1 | 초기 정책 | 2022년 11월 30일 |
# AWS 모델 레지스트리에 대한 관리형 정책
이러한 AWS 관리형 정책은 모델 레지스트리를 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 Amazon SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Model Registry 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-model-registry-updates)
## AWS 관리형 정책: AmazonSageMakerModelRegistryFullAccess
이 AWS 관리형 정책은 Amazon SageMaker AI 도메인 내에서 모든 모델 레지스트리 기능을 사용하는 데 필요한 권한을 부여합니다. 이 정책은 모델 레지스트리 권한을 활성화하도록 모델 레지스트리 설정을 구성할 때 실행 역할에 연결됩니다.
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ecr` - 보안 주체가 Amazon Elastic Container Registry(Amazon ECR) 이미지에 대해 메타데이터를 포함한 정보를 검색할 수 있도록 허용합니다.
+ `iam` - 위탁자가 Amazon SageMaker AI 서비스에 실행 역할을 넘길 수 있도록 허용합니다.
+ `resource-groups` - 보안 주체가 생성, 나열, 태그 지정 및 삭제할 수 있도록 허용합니다 AWS Resource Groups.
+ `s3` - 보안 주체가 모델 버전이 저장된 Amazon Simple Storage Service(S3) 버킷에서 객체를 검색할 수 있도록 허용합니다. 검색 가능한 객체는 대소문자를 구분하지 않는 이름에 문자열`"sagemaker"`가 포함된 객체로 제한됩니다.
+ `sagemaker` - 위탁자가 SageMaker Model Registry를 사용하여 모델을 카탈로그, 관리 및 배포할 수 있도록 허용합니다.
+ `kms` - SageMaker AI 서비스 보안 주체만 권한 부여를 추가하고, 데이터 키를 생성하고, 복호화하고, AWS KMS 키를 읽을 수 있으며, "sagemaker"용으로 태그가 지정된 키만 사용할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Model Registry 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 모델 레지스트리의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 SageMaker AI [Document history 페이지](doc-history.md)에서 RSS 피드를 구독하세요.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) - 기존 정책에 대한 업데이트 | 2 | `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` 및 `kms:Decrypt` 권한을 추가합니다. | 2024년 6월 6일 |
| AmazonSageMakerModelRegistryFullAccess - 새 정책 | 1 | 초기 정책 | 2023년 8월 12일 |
# AWS SageMaker 노트북에 대한 관리형 정책
이러한 AWS 관리형 정책은 SageMaker 노트북을 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [SageMaker AI 노트북 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-notebooks-updates)
## AWS 관리형 정책: AmazonSageMakerNotebooksServiceRolePolicy
이 AWS 관리형 정책은 Amazon SageMaker 노트북을 사용하는 데 일반적으로 필요한 권한을 부여합니다. 이 정책은 Amazon SageMaker Studio Classic에 온보딩할 때 만들어지는 `AWSServiceRoleForAmazonSageMakerNotebooks`에 추가됩니다. 서비스 연결 역할에 대한 자세한 내용은 [서비스 연결 역할](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)섹션을 참조하세요. 자세한 내용은 [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)를 참조하세요.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `elasticfilesystem` - 보안 주체가 Amazon Elastic File System(EFS) 파일 시스템, 액세스 포인트 및 탑재 대상을 생성하고 삭제할 수 있도록 허용합니다. 이는 *ManagedByAmazonSageMakerResource* 키로 태그가 지정된 항목으로 제한됩니다. 보안 주체가 모든 EFS 파일 시스템, 액세스 포인트 및 탑재 대상을 설명할 수 있도록 허용합니다. 보안 주체가 EFS 액세스 포인트 및 탑재 대상에 대한 태그를 생성하거나 덮어쓸 수 있도록 허용합니다.
+ `ec2` - 보안 주체가 Amazon Elastic Compute Cloud(EC2) 인스턴스에 대한 네트워크 인터페이스 및 보안 그룹을 생성할 수 있도록 허용합니다. 또한 보안 주체가 이러한 리소스에 대한 태그를 생성하고 덮어쓸 수 있도록 허용합니다.
+ `sso` - 보안 주체가 AWS IAM Identity Center에 관리형 애플리케이션 인스턴스를 추가 및 삭제할 수 있도록 허용합니다.
+ `sagemaker` - 위탁자가 SageMaker AI 사용자 프로필 및 SageMaker AI 스페이스를 만들고 읽고 SageMaker AI 스페이스 및 SageMaker AI 앱을 삭제하도록 허용합니다.
+ `fsx` - 위탁자가 Amazon FSx for Lustre 파일 시스템을 설명하고 메타데이터를 사용하여 노트북에 탑재하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## SageMaker AI 노트북 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon SageMaker AI의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - 기존 정책에 대한 업데이트 | 10 | `fsx:DescribeFileSystems` 권한을 추가합니다. | 2024년 11월 14일 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - 기존 정책에 대한 업데이트 | 9 | `sagemaker:DeleteApp` 권한을 추가합니다. | 2024년 7월 24일 |
| AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트 | 8 | `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags`및 `sagemaker:AddTags`권한을 추가합니다. | 2024년 5월 22일 |
| AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트 | 7 | `elasticfilesystem:TagResource` 권한을 추가합니다. | 2023년 3월 9일 |
| AmazonSageMakerNotebooksServiceRolePolicy - 기존 정책 업데이트 | 6 | `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint`및 `elasticfilesystem:DescribeAccessPoints`권한 추가. | 2023년 1월 12일 |
| | | SageMaker AI는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 6월 1일 |
# AWS Amazon SageMaker 파트너 AI 앱에 대한 관리형 정책
이러한 AWS 관리형 정책은 Amazon SageMaker 파트너 AI 앱을 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Partner AI App 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-partner-apps-updates)
## AWS 관리형 정책: AmazonSageMakerPartnerAppsFullAccess
Amazon SageMaker Partner AI App에 대한 전체 관리 액세스를 허용합니다.
** 권한 세부 정보**
이 AWS 관리형 정책에는 다음 권한이 포함됩니다.
+ `sagemaker` - Amazon SageMaker Partner AI App 사용자에게 애플리케이션에 액세스하고, 사용 가능한 애플리케이션을 나열하고, 애플리케이션 웹 UI를 시작하고, 애플리케이션 SDK를 사용하여 연결할 수 있는 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Partner AI App 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 파트너 AI 앱의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 SageMaker AI [Document history 페이지](doc-history.md)에서 RSS 피드를 구독하세요.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - 새 정책 | 1 | 초기 정책 | 2025년 1월 17일 |
# AWS SageMaker Pipelines에 대한 관리형 정책
이러한 AWS 관리형 정책은 SageMaker Pipelines을 사용하는 데 필요한 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [SageMaker AI Pipelines 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-pipelines-updates)
## AWS 관리형 정책: AmazonSageMakerPipelinesIntegrations
이 AWS 관리형 정책은 SageMaker Pipelines에서 콜백 단계 및 Lambda 단계를 사용하는 데 일반적으로 필요한 권한을 부여합니다. 이 정책은 Amazon SageMaker Studio Classic에 온보딩할 때 만들어지는 `AmazonSageMaker-ExecutionRole`에 추가됩니다. 정책은 파이프라인을 작성하거나 실행하는 데 사용되는 모든 역할에 연결할 수 있습니다.
이 정책은 AWS Lambda 함수를 호출하거나 수동 승인 단계 또는 사용자 지정 워크로드 실행에 사용할 수 있는 콜백 단계를 포함하는 파이프라인을 구축할 때 필요한 적절한 Lambda, Amazon Simple Queue Service(Amazon SQS), Amazon EventBridge 및 IAM 권한을 부여합니다.
Amazon SQS 권한을 사용하면 콜백 메시지를 수신하는 데 필요한 Amazon SQS 대기열을 생성하고 해당 대기열로 메시지를 전송할 수 있습니다.
Lambda 권한을 사용하면 파이프라인 단계에서 사용되는 Lambda 함수를 생성, 읽기, 업데이트 및 삭제하고 해당 Lambda 함수를 간접 호출할 수 있습니다.
이 정책은 파이프라인 Amazon EMR 단계를 실행하는 데 필요한 권한을 Amazon EMR에 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `elasticmapreduce` - 실행 중인 Amazon EMR 클러스터에서 단계를 읽고, 추가하고, 취소합니다. 새 Amazon EMR 클러스터를 읽고, 생성하고, 종료합니다.
+ `events` - `SageMakerPipelineExecutionEMRClusterStatusUpdateRule`및 `SageMakerPipelineExecutionEMRStepStatusUpdateRule`이라는 EventBridge 규칙을 읽고, 생성하고, 업데이트하고, 대상을 추가합니다.
+ `iam` - AWS Lambda 서비스, Amazon EMR 및 Amazon EC2에 IAM 역할을 전달합니다.
+ `lambda` - Lambda 함수를 생성, 읽기, 업데이트, 삭제 및 호출합니다. 이러한 권한은 이름에 “sagemaker”가 포함된 함수로 제한됩니다.
+ `sqs` - Amazon SQS 대기열을 생성한 후 Amazon SQS 메시지를 보냅니다. 이러한 권한은 이름에 “sagemaker”가 포함된 함수로 제한됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## SageMaker AI Pipelines 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon SageMaker AI의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - 기존 정책에 대한 업데이트 | 3 | `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps`및 `elasticmapreduce:DescribeCluster`에 대한 권한이 추가되었습니다. | 2023년 2월 17일 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - 기존 정책에 대한 업데이트 | 2 | `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps`및 `elasticmapreduce:DescribeStep`에 대한 권한이 추가되었습니다. | 2022년 4월 20일 |
| AmazonSageMakerPipelinesIntegrations - 새 정책 | 1 | 초기 정책 | 2021년 7월 30일 |
# AWS SageMaker 훈련 계획에 대한 관리형 정책
이 AWS 관리형 정책은 SageMaker AI에서 Amazon SageMaker 훈련 계획 및 예약 용량을 생성하고 관리하는 데 필요한 권한을 부여합니다. 이 정책은 [SageMaker AI 실행 역할](sagemaker-roles.md)을 포함하여 SageMaker AI 내에서 훈련 계획 및 예약 용량을 생성하고 관리하는 데 사용되는 IAM 역할에 연결할 수 있습니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [SageMaker 훈련 계획 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-training-plan-updates)
## AWS 관리형 정책: AmazonSageMakerTrainingPlanCreateAccess
이 정책은 SageMaker AI에서 훈련 계획을 생성, 설명, 검색 및 나열하는 데 필요한 권한을 제공합니다. 또한 특정 조건에서 훈련 계획 및 예약 용량 리소스에 태그를 추가하도록 허용합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `sagemaker` - 훈련 계획 및 예약 용량을 생성하고, 태그 지정 작업이 구체적으로 `CreateTrainingPlan` 또는 `CreateReservedCapacity`일 때 훈련 계획 및 예약 용량에 태그 추가를 허용하고, 훈련 계획 설명을 허용하고, 훈련 계획 오퍼링 검색 및 모든 리소스에 기존 훈련 계획 나열을 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## SageMaker 훈련 계획 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon SageMaker AI의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - 업데이트된 정책 | 2 | 특정 예약 용량에 대한 정보를 검색하고 예약 용량에 있는 모든 UltraServers를 나열할 수 있는 권한을 추가하도록 정책을 업데이트했습니다. | 2024년 7월 29일 |
| AmazonSageMakerTrainingPlanCreateAccess - 새 정책 | 1 | 초기 정책 | 2024년 12월 4일 |
# AWS SageMaker 프로젝트 및 JumpStart에 대한 관리형 정책
이러한 AWS 관리형 정책은 기본 제공 Amazon SageMaker AI 프로젝트 템플릿 및 JumpStart 솔루션을 사용할 수 있는 권한을 추가합니다. 정책은 AWS 계정에서 사용할 수 있으며 SageMaker AI 콘솔에서 생성된 실행 역할에서 사용됩니다.
SageMaker Projects 및 JumpStart는 AWS Service Catalog를 사용하여 고객의 계정에 AWS 리소스를 프로비저닝합니다. 생성된 일부 리소스는 실행 역할을 맡아야 합니다. 예를 들어 AWS Service Catalog가 SageMaker AI 기계 학습 CI/CD 프로젝트에 대해 고객을 대신하여 CodePipeline 파이프라인을 생성하는 경우 해당 파이프라인에는 IAM 역할이 필요합니다.
[AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole) 역할에는 AWS Service Catalog에서 제품의 SageMaker AI 포트폴리오를 시작하는 데 필요한 권한이 있습니다. [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole) 역할에는 AWS Service Catalog의 SageMaker AI 제품 포트폴리오를 사용하는 데 필요한 권한이 있습니다. `AmazonSageMakerServiceCatalogProductsLaunchRole` 역할은 프로비저닝된 AWS Service Catalog 제품 리소스에 `AmazonSageMakerServiceCatalogProductsUseRole` 역할을 전달합니다.
**Topics**
+ [AWS 관리형 정책: AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS Service Catalog AWS 관리형 정책에 대한 Amazon SageMaker AI 업데이트](#security-iam-awsmanpol-sc-updates)
## AWS 관리형 정책: AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy
이 서비스 역할 정책은 AWS Service Catalog 서비스에서 Amazon SageMaker AI 포트폴리오의 제품을 프로비저닝하는 데 사용됩니다. 이 정책은 AWS CodePipeline, AWS CodeBuild, AWS CodeCommit AWS Glue AWS CloudFormation등을 포함한 일련의 관련 AWS 서비스에 권한을 부여합니다.
`AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` 정책은 SageMaker AI 콘솔에서 생성된 `AmazonSageMakerServiceCatalogProductsLaunchRole` 역할에서 사용하기 위한 것입니다. 이 정책은 서비스 카탈로그를 사용하여 SageMaker 프로젝트 및 JumpStart에 대한 AWS 리소스를 고객 계정에 프로비저닝할 수 있는 권한을 추가합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `apigateway` - 역할이 `sagemaker:launch-source`로 태그가 지정된 API Gateway 엔드포인트를 호출할 수 있도록 허용합니다.
+ `cloudformation` - AWS Service Catalog 가 CloudFormation 스택을 생성, 업데이트 및 삭제할 수 있도록 허용합니다. 또한 Service Catalog가 리소스에 태그를 지정하고 태그 지정을 취소하도록 허용합니다.
+ `codebuild` -에서 수임 AWS Service Catalog 하고 CloudFormation에 전달한 역할이 CodeBuild 프로젝트를 생성, 업데이트 및 삭제할 수 있도록 허용합니다.
+ `codecommit` -가 수임 AWS Service Catalog 하고 CloudFormation에 전달한 역할이 CodeCommit 리포지토리를 생성, 업데이트 및 삭제할 수 있도록 허용합니다.
+ `codepipeline` -가 수임 AWS Service Catalog 하고 CloudFormation에 전달한 역할이 CodePipelines을 생성, 업데이트 및 삭제할 수 있도록 허용합니다.
+ `codeconnections`, `codestar-connections`- 역할이 AWS CodeConnections 및 AWS CodeStar 연결을 전달하도록 허용합니다.
+ `cognito-idp` - 역할이 그룹 및 사용자 풀을 생성, 업데이트 및 삭제할 수 있도록 허용합니다. 또한 리소스에 태그를 지정할 수 있습니다.
+ `ecr` -가 수임 AWS Service Catalog 하고 CloudFormation에 전달한 역할이 Amazon ECR 리포지토리를 생성하고 삭제할 수 있도록 허용합니다. 또한 리소스에 태그를 지정할 수 있습니다.
+ `events` -가 수임 AWS Service Catalog 하고 CloudFormation에 전달한 역할이 EventBridge 규칙을 생성하고 삭제할 수 있도록 허용합니다. CICD 파이프라인의 다양한 구성 요소를 하나로 묶는 데 사용됩니다.
+ `firehose` - 역할이 Firehose 스트림과 상호 작용하도록 허용합니다.
+ `glue` - 역할이 상호 작용할 수 있도록 허용합니다 AWS Glue.
+ `iam` - 역할이 `AmazonSageMakerServiceCatalog`이 앞에 붙은 역할을 전달할 수 있도록 허용합니다. 이는 Projects에서 AWS Service Catalog 제품을 프로비저닝할 때 역할을 AWS Service Catalog로 전달해야 하므로 필요합니다.
+ `lambda` - 역할이 AWS Lambda와 상호 작용할 수 있도록 허용합니다. 또한 리소스에 태그를 지정할 수 있습니다.
+ `logs` - 역할이 로그 스트림을 생성, 삭제 및 액세스할 수 있도록 허용합니다.
+ `s3` -가 수임 AWS Service Catalog 하고 CloudFormation에 전달한 역할이 프로젝트 템플릿 코드가 저장된 Amazon S3 버킷에 액세스할 수 있도록 허용합니다.
+ `sagemaker` - 역할이 다양한 SageMaker AI 서비스와 상호 작용할 수 있도록 허용합니다. 이는 템플릿 프로비저닝 중에는 CloudFormation에서, CICD 파이프라인 실행 중에는 CodeBuild에서 모두 수행됩니다. 또한 엔드포인트, 엔드포인트 구성, 모델, 파이프라인, 프로젝트, 모델 패키지 등의 리소스에 태그를 지정할 수 있습니다.
+ `states` - 역할이 앞에 `sagemaker`가 붙은 Step Functions를 생성, 삭제 및 업데이트할 수 있도록 허용합니다.
이 정책의 권한을 보려면 AWS 관리형 정책 참조의 [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html)를 참조하세요.
## AWS 관리형 정책: AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 프로비저닝된 제품 내에서 Amazon API Gateway에서 사용됩니다. AWS Service Catalog Amazon SageMaker 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 API Gateway에서 생성한 AWS 리소스로 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `lambda` - 파트너 템플릿으로 생성한 함수를 간접 호출합니다.
+ `sagemaker` - 파트너 템플릿으로 생성한 엔드포인트를 간접 호출합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝된 제품 AWS CloudFormation 내에서에서 사용됩니다. 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할 CloudFormation 이 필요한에서 생성한 AWS 리소스에 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` - `AmazonSageMakerServiceCatalogProductsLambdaRole`및 `AmazonSageMakerServiceCatalogProductsApiGatewayRole`역할을 전달합니다.
+ `lambda` - AWS Lambda 함수를 생성, 업데이트, 삭제 및 호출하고 Lambda 계층의 버전을 검색, 게시 및 삭제합니다.
+ `apigateway` - Amazon API Gateway 리소스를 생성, 업데이트 및 삭제합니다.
+ `s3` - Amazon Simple Simple Simple S3(Amazon S3) 버킷에서 `lambda-auth-code/layer.zip`파일을 검색합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝된 제품 AWS Lambda 내에서에서 사용됩니다. 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 Lambda에서 생성한 AWS 리소스에 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `secretsmanager` - 파트너 템플릿을 위해 파트너 제공 보안 정보에서 데이터를 검색합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 프로비저닝된 제품 내에서 Amazon API Gateway에서 사용됩니다. AWS Service Catalog Amazon SageMaker 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 API Gateway에서 생성한 AWS 리소스로 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `logs` - CloudWatch Logs 그룹, 스트림 및 이벤트를 생성 및 읽고, 이벤트를 업데이트하고, 다양한 리소스를 설명합니다.
이러한 권한은 로그 그룹 접두사가 “aws/apigateway/”로 시작하는 리소스로 제한됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝된 제품 AWS CloudFormation 내에서에서 사용됩니다. 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할 CloudFormation 이 필요한에서 생성한 AWS 리소스로 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `sagemaker` - 도메인, 사용자 프로필, 앱 및 플로우 정의를 제외한 다양한 SageMaker AI 리소스에 대한 액세스를 허용합니다.
+ `iam` - `AmazonSageMakerServiceCatalogProductsCodeBuildRole`및 `AmazonSageMakerServiceCatalogProductsExecutionRole`역할을 전달합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝된 제품 AWS CodeBuild 내에서에서 사용됩니다. 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 CodeBuild에서 생성한 AWS 리소스로 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `sagemaker` - 다양한 SageMaker AI 리소스에 대한 액세스를 허용합니다.
+ `codecommit` - CodeCommit 아카이브를 CodeBuild 파이프라인에 업로드하고, 업로드 상태를 확인하고, 업로드를 취소하고, 브랜치와 커밋 정보를 가져올 수 있습니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 리소스로만 제한됩니다.
+ `ecr` - Amazon ECR 리포지토리와 컨테이너 이미지를 생성하고 이미지 레이어를 업로드합니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 리포지토리로만 제한됩니다.
`ecr` - 모든 리소스를 읽습니다.
+ `iam` - 다음 역할을 전달합니다.
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole` \$1 AWS CloudFormation.
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole` \$1 AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole` \$1 AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole` \$1 Amazon EventBridge.
+ Amazon SageMaker AI에 대한 `AmazonSageMakerServiceCatalogProductsExecutionRole`
+ `logs` - CloudWatch Logs 그룹, 스트림 및 이벤트를 생성 및 읽고, 이벤트를 업데이트하고, 다양한 리소스를 설명합니다.
이러한 권한은 이름 접두사가 “aws/codebuild/”로 시작하는 리소스로 제한됩니다.
+ `s3` - Amazon S3 버킷을 생성하고, 읽고, 나열할 수 있습니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 버킷으로 제한됩니다.
+ `codeconnections`, `codestar-connections`- AWS CodeConnections 및 AWS CodeStar 연결을 사용합니다.
이 정책의 권한을 보려면 AWS 관리형 정책 참조의 [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)를 참조하세요.
## AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝된 제품 AWS CodePipeline 내에서에서 사용됩니다. 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 CodePipeline에서 생성한 AWS 리소스로 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `cloudformation` - CloudFormation 스택을 만들고, 읽고, 삭제하고, 업데이트합니다. 변경 세트를 만들고, 읽고, 삭제하고, 실행합니다. 스택 정책을 설정합니다. 리소스에 태그를 지정하고 태그 지정을 취소합니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 리소스로만 제한됩니다.
+ `s3` - Amazon S3 버킷을 생성, 읽기, 나열 및 삭제하고, 버킷에서 객체를 추가, 읽기 및 삭제하고, CORS 구성을 읽고 설정하고, 액세스 제어 목록(ACL)을 읽고, 버킷이 있는 AWS 리전을 읽습니다.
이러한 권한은 이름이 “sagemaker-” 또는 “aws-glue-로 시작하는 버킷으로 제한됩니다.
+ `iam` - `AmazonSageMakerServiceCatalogProductsCloudformationRole`역할을 전달합니다.
+ `codebuild` - CodeBuild 빌드 정보를 얻고 빌드를 시작합니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 프로젝트 및 빌드 리소스로 제한됩니다.
+ `codecommit` - CodeCommit 아카이브를 CodeBuild 파이프라인에 업로드하고, 업로드 상태를 확인하고, 업로드를 취소하고, 브랜치와 커밋 정보를 가져올 수 있습니다.
+ `codeconnections`, `codestar-connections`- AWS CodeConnections 및 AWS CodeStar 연결을 사용합니다.
이 정책의 권한을 보려면 AWS 관리형 정책 참조의 [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)를 참조하세요.
## AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝된 제품 내에서 Amazon EventBridge에서 사용됩니다. Amazon SageMaker 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 EventBridge에서 생성한 AWS 리소스로 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `codepipeline` - CodeBuild 실행을 시작합니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 파이프라인으로 제한됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝된 제품 내에서 Amazon Data Firehose가 사용합니다. Amazon SageMaker 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 Firehose에서 생성한 AWS 리소스로 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `firehose` – Firehose 레코드를 전송합니다. 이러한 권한은 전송 스트림 이름이 “sagemaker-”로 시작하는 리소스로 제한됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy
이 정책은 AWS Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝 제품 내에서 Glue가 사용합니다. 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 Glue에서 생성한 AWS 리소스에 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `glue` - AWS Glue 파티션, 테이블 및 테이블 버전을 생성, 읽기 및 삭제합니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 리소스로만 제한됩니다. AWS Glue 데이터베이스를 생성하고 읽습니다. 이러한 권한은 이름이 “default”, “global\$1temp”이거나 “sagemaker-”로 시작하는 데이터베이스로 제한됩니다. 사용자 지정 함수를 가져옵니다.
+ `s3` - Amazon S3 버킷을 생성, 읽기, 나열 및 삭제하고, 버킷에서 객체를 추가, 읽기 및 삭제하고, CORS 구성을 읽고 설정하고, 액세스 제어 목록(ACL)을 읽고, 버킷이 있는 AWS 리전을 읽습니다.
이러한 권한은 이름이 “sagemaker-” 또는 “aws-glue-로 시작하는 버킷으로 제한됩니다.
+ `logs` - CloudWatch Logs 로그 그룹, 스트림 및 전송을 생성, 읽기 및 삭제하고 리소스 정책을 생성합니다.
이러한 권한은 이름 접두사가 “aws/glue/”로 시작하는 리소스로 제한됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS 관리형 정책: AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy
이 정책은 Amazon SageMaker AI 포트폴리오의 AWS Service Catalog 프로비저닝된 제품 AWS Lambda 내에서에서 사용됩니다. 이 정책은 [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)이 역할이 필요한 Lambda에서 생성한 AWS 리소스로 전달하는 IAM 역할에 연결하기 위한 것입니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `sagemaker` - 다양한 SageMaker AI 리소스에 대한 액세스를 허용합니다.
+ `ecr` - Amazon ECR 리포지토리를 생성 및 삭제하고, 컨테이너 이미지를 생성, 읽기 및 삭제하고, 이미지 레이어를 업로드합니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 리포지토리로만 제한됩니다.
+ `events` - Amazon EventBridge 규칙을 생성, 읽기 및 삭제하고 대상을 생성 및 제거할 수 있습니다. 이러한 권한은 이름이 “sagemaker-”로 시작하는 규칙으로 제한됩니다.
+ `s3` - Amazon S3 버킷을 생성, 읽기, 나열 및 삭제하고, 버킷에서 객체를 추가, 읽기 및 삭제하고, CORS 구성을 읽고 설정하고, 액세스 제어 목록(ACL)을 읽고, 버킷이 있는 AWS 리전을 읽습니다.
이러한 권한은 이름이 “sagemaker-” 또는 “aws-glue-로 시작하는 버킷으로 제한됩니다.
+ `iam` - `AmazonSageMakerServiceCatalogProductsExecutionRole`역할을 전달합니다.
+ `logs` - CloudWatch Logs 로그 그룹, 스트림 및 전송을 생성, 읽기 및 삭제하고 리소스 정책을 생성합니다.
이러한 권한은 이름 접두사가 “aws/lambda/”로 시작하는 리소스로 제한됩니다.
+ `codebuild` - AWS CodeBuild 빌드에 대한 정보를 시작하고 가져옵니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## AWS Service Catalog AWS 관리형 정책에 대한 Amazon SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon SageMaker AI의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) - 업데이트된 정책 | 10 | `codestar-connections:PassConnection` 및 `codeconnections:PassConnection` 권한이 업데이트되었습니다. | 2025년 9월 27일 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy) - 정책 업데이트 | 3 | `codestar-connections:UseConnection` 및 `codeconnections:UseConnection` 권한이 업데이트되었습니다. | 2025년 9월 27일 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy) - 정책 업데이트 | 3 | `codestar-connections:UseConnection` 및 `codeconnections:UseConnection` 권한이 업데이트되었습니다. | 2025년 9월 27일 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy) - 정책 업데이트 | 9 | `cloudformation:TagResource`, `cloudformation:UntagResource`및 `codeconnections:PassConnection`권한 추가. | 2024년 7월 1일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - 업데이트된 정책 | 7 | 정책을 버전 7(v7)로 롤백합니다. `cloudformation:TagResource`, `cloudformation:UntagResource` 및 `codeconnections:PassConnection` 권한을 제거합니다. | 2024년 6월 12일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - 업데이트된 정책 | 8 | `cloudformation:TagResource`, `cloudformation:UntagResource`및 `codeconnections:PassConnection`권한 추가. | 2024년 6월 11일 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy) - 업데이트된 정책 | 2 | `codestar-connections:UseConnection` 및 `codeconnections:UseConnection`권한을 추가합니다. | 2024년 6월 11일 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy) - 업데이트된 정책 | 2 | `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` 및 `codeconnections:UseConnection` 권한을 추가합니다. | 2024년 6월 11일 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy) - 업데이트된 정책 | 2 | `codebuild:StartBuild` 및 `codebuild:BatchGetBuilds`권한을 추가합니다. | 2024년 6월 11일 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | 초기 정책 | 2023년 8월 1일 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | 초기 정책 | 2023년 8월 1일 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | 초기 정책 | 2023년 8월 1일 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy) - 업데이트된 정책 | 2 | `glue:GetUserDefinedFunctions`에 대한 권한을 추가합니다. | 2022년 8월 26일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - 업데이트된 정책 | 7 | `sagemaker:AddTags`에 대한 권한을 추가합니다. | 2022년 8월 2일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - 업데이트된 정책 | 6 | `lambda:TagResource`에 대한 권한을 추가합니다. | 2022년 7월 14일 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy | 1 | 초기 정책 | 2022년 4월 4일 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | 초기 정책 | 2022년 3월 24일 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | 초기 정책 | 2022년 3월 24일 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | 초기 정책 | 2022년 3월 24일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - 업데이트된 정책 | 5 | `ecr-idp:TagResource`에 대한 권한을 추가합니다. | 2022년 3월 21일 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | 초기 정책 | 2022년 2월 22일 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | 초기 정책 | 2022년 2월 22일 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | 초기 정책 | 2022년 2월 22일 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy | 1 | 초기 정책 | 2022년 2월 22일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - 업데이트된 정책 | 4 | `cognito-idp:TagResource` 및 `s3:PutBucketCORS`에 대한 권한을 추가합니다. | 2022년 2월 16일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - 업데이트된 정책 | 3 | `sagemaker`에 대한 새 권한을 추가합니다. SageMaker 이미지를 생성하고, 읽고, 업데이트하고, 삭제합니다. | 2021년 9월 15일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - 업데이트된 정책 | 2 | `sagemaker` 및 `codestar-connections`에 대한 권한을 추가합니다. 코드 리포지토리 생성, 읽기, 업데이트 및 삭제합니다. AWS CodeStar 연결을에 전달합니다 AWS CodePipeline. | 2021년 7월 1일 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | 초기 정책 | 2020년 11월 27일 |
## AWS 관리형 정책에 대한 SageMaker AI 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 SageMaker AI의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 정책 | 버전 | 변경 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - 기존 정책에 대한 업데이트 | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/sagemaker/latest/dg/security-iam-awsmanpol.html) | 2024년 12월 4일 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - 기존 정책에 대한 업데이트 | 26 | `sagemaker:AddTags` 권한을 추가합니다. | 2024년 3월 29일 |
| AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 | 25 | `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` 및 `s3express:ListAllMyDirectoryBuckets` 권한을 추가합니다. | 2023년 11월 30일 |
| AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 | 24 | `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace`및 `sagemaker:ListSpaces`권한을 추가합니다. | 2022년 11월 30일 |
| AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 | 23 | `glue:UpdateTable`를 추가합니다. | 2022년 6월 29일 |
| AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 | 22 | `cloudformation:ListStackResources`를 추가합니다. | 2022년 5월 1일 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) - 기존 정책에 대한 업데이트 | 11 | `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`및 `sagemaker:GetModelPackageGroupPolicy`권한을 추가합니다. | 2021년 12월 1일 |
| AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 | 21 | 비동기 추론이 활성화된 엔드포인트에 대한 `sns:Publish`권한을 추가합니다. | 2021년 9월 8일 |
| AmazonSageMakerFullAccess - 기존 정책에 대한 업데이트 | 20 | `iam:PassRole` 리소스 및 권한을 업데이트합니다. | 2021년 7월 15일 |
| AmazonSageMakerReadOnly - 기존 정책에 대한 업데이트 | 10 | SageMaker AI Feature Store 새 API `BatchGetRecord`가 추가되었습니다. | 2021년 6월 10일 |
| | | SageMaker AI는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 6월 1일 |