As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Políticas gerenciadas para SageMaker notebooks
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar os SageMaker Notebooks. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Atualizações da Amazon SageMaker AI para as políticas gerenciadas do SageMaker AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS política gerenciada: AmazonSageMakerNotebooksServiceRolePolicy
Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o Amazon SageMaker Notebooks. A política é adicionada à `AWSServiceRoleForAmazonSageMakerNotebooks` que é criada quando você se integra ao Amazon SageMaker Studio Classic. Para obter mais informações sobre os perfis vinculados ao serviço, consulte [Perfis vinculados ao serviço](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Para obter mais informações, consulte [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html).
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `elasticfilesystem`: permite que as entidades principais criem e excluam sistemas de arquivos, pontos de acesso e destinos de montagem do Amazon Elastic File System (EFS). Eles são limitados aos marcados com a chave *ManagedByAmazonSageMakerResource*. Permite que as entidades principais descrevam todos os sistemas de arquivos EFS, pontos de acesso e destinos de montagem. Permite que as entidades principais criem ou sobrescrevam tags para pontos de acesso do EFS e alvos de montagem.
+ `ec2`: permite que as entidades principais criem interfaces de rede e grupos de segurança para instâncias do Amazon Elastic Compute Cloud (EC2). Também permite que as entidades principais criem e substituam tags para esses recursos.
+ `sso`: permite que as entidades principais adicionem e excluam instâncias de aplicações gerenciadas em . Centro de Identidade do AWS IAM
+ `sagemaker`— Permite que os diretores criem e leiam SageMaker perfis de usuário e espaços de SageMaker IA; excluam espaços de SageMaker IA e aplicativos de SageMaker IA; e adicionem e listem tags.
+ `fsx`— Permite que os diretores descrevam o sistema de arquivos Amazon FSx for Lustre e usem os metadados para montá-lo no notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas do SageMaker AI Notebooks
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Atualização em uma política existente | 10 | Adicione a permissão `fsx:DescribeFileSystems`. | 14 de novembro de 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Atualização em uma política existente | 9 | Adicione a permissão `sagemaker:DeleteApp`. | 24 de julho de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 8 | Adicione permissões `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` e `sagemaker:AddTags`. | 22 de maio de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 7 | Adicione a permissão `elasticfilesystem:TagResource`. | 9 de março de 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 6 | Adicione permissões `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` e `elasticfilesystem:DescribeAccessPoints`. | 12 de janeiro de 2023 |
| | | SageMaker A IA começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 1º de junho de 2021 |