View a markdown version of this page

AWS Políticas gerenciadas para SageMaker projetos e JumpStart - SageMaker Inteligência Artificial da Amazon
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicyAmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicyAmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicyAmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicyAmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicyAmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicyAmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicyAmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicyAmazonSageMakerServiceCatalogProductsEventsServiceRolePolicyAmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicyAmazonSageMakerServiceCatalogProductsGlueServiceRolePolicyAmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicyAWS Atualizações da política do Service Catalog

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Políticas gerenciadas para SageMaker projetos e JumpStart

Essas políticas AWS gerenciadas adicionam permissões para usar modelos e JumpStart soluções de projetos integrados da Amazon SageMaker AI. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.

SageMaker Projeta e JumpStart usa o AWS Service Catalog para provisionar AWS recursos nas contas dos clientes. Alguns recursos criados precisam assumir um perfil de execução. Por exemplo, se o AWS Service Catalog criar um CodePipeline pipeline em nome de um cliente para um CI/CD projeto de aprendizado de máquina de SageMaker IA, esse pipeline exigirá uma função do IAM.

A AmazonSageMakerServiceCatalogProductsLaunchRolefunção tem as permissões necessárias para lançar o portfólio de produtos de SageMaker IA do AWS Service Catalog. A AmazonSageMakerServiceCatalogProductsUseRolefunção tem as permissões necessárias para usar o portfólio de produtos de SageMaker IA do AWS Service Catalog. A AmazonSageMakerServiceCatalogProductsLaunchRole função passa uma AmazonSageMakerServiceCatalogProductsUseRole função para os recursos de produto provisionados do AWS Service Catalog.

AWS política gerenciada: AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy

Essa política de função de serviço é usada pelo AWS Service Catalog serviço para provisionar produtos do portfólio Amazon SageMaker AI. A política concede permissões a um conjunto de AWS serviços relacionados AWS CodePipeline, incluindo AWS CodeBuild, AWS CodeCommit, AWS CloudFormation, AWS Glue e outros.

A AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy política deve ser usada pela AmazonSageMakerServiceCatalogProductsLaunchRole função criada no console de SageMaker IA. A política adiciona permissões para provisionar AWS recursos para SageMaker projetos e JumpStart usar o Service Catalog na conta de um cliente.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • apigateway: permite que o perfil chame os endpoints do API Gateway que estão com a tag sagemaker:launch-source.

  • cloudformation— Permite AWS Service Catalog criar, atualizar e excluir CloudFormation pilhas. Também permite que o Service Catalog adicione e remova tags de recursos.

  • codebuild— Permite que a função assumida AWS Service Catalog e passada CloudFormation para criar, atualizar e excluir CodeBuild projetos.

  • codecommit— Permite que a função assumida AWS Service Catalog e passada CloudFormation para criar, atualizar e excluir CodeCommit repositórios.

  • codepipeline— Permite que a função assumida AWS Service Catalog e passada CloudFormation seja criada, atualizada e excluída CodePipelines.

  • codeconnections, codestar-connections — Também permite que a função passe Conexões de código da AWS e AWS CodeStar as conexões.

  • cognito-idp: permite que o perfil crie, atualize e exclua grupos e grupos de usuários. Também permite marcar recursos com tag.

  • ecr— Permite que a função assumida AWS Service Catalog e transmitida crie e CloudFormation exclua repositórios do Amazon ECR. Também permite marcar recursos com tag.

  • events— Permite que a função assumida AWS Service Catalog e transmitida CloudFormation crie e exclua EventBridge regras. Usado para unir os vários componentes da tubulação CICD.

  • firehose: permite que a função interaja com fluxos do Firehose.

  • glue— Permite que a função interaja com AWS Glue.

  • iam: permite que o perfil passe as funções precedidas de AmazonSageMakerServiceCatalog. Isso é necessário quando o Projects provisiona um produto do AWS Service Catalog , pois um perfil precisa ser passado para AWS Service Catalog.

  • lambda: permite que o perfil interaja com AWS Lambda. Também permite marcar recursos com tag.

  • logs: permite que o perfil crie, exclua e acesse fluxos de log.

  • s3— Permite que a função assumida AWS Service Catalog e passada acesse CloudFormation os buckets do Amazon S3 onde o código do modelo do projeto está armazenado.

  • sagemaker— Permite que a função interaja com vários serviços de SageMaker IA. Isso é feito CloudFormation durante o provisionamento do modelo e CodeBuild durante a execução do pipeline do CICD. Também permite marcar os seguintes recursos: endpoints, configurações de endpoints, modelos, pipelines, projetos e pacotes de modelos.

  • states: permite que o perfil crie, exclua e atualize o Step Functions precedido de sagemaker.

Para ver as permissões dessa política, consulte AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicyna Referência de política AWS gerenciada.

AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy

Essa política é usada pelo Amazon API Gateway nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados pelo API Gateway que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • lambda: invoca uma função criada por um modelo de parceiro.

  • sagemaker: invoca um endpoint criado por um modelo de parceiro.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/sagemaker:project-name": "false",
          "aws:ResourceTag/sagemaker:partner": "false"
        },
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "sagemaker:InvokeEndpoint",
      "Resource": "arn:aws:sagemaker:*:*:endpoint/*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/sagemaker:project-name": "false",
          "aws:ResourceTag/sagemaker:partner": "false"
        },
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}

AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy

Essa política é usada AWS CloudFormation dentro dos produtos AWS Service Catalog provisionados do portfólio de SageMaker IA da Amazon. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados por CloudFormation ela e que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • iam: passa os perfis AmazonSageMakerServiceCatalogProductsLambdaRole e AmazonSageMakerServiceCatalogProductsApiGatewayRole.

  • lambda— Crie, atualize, exclua e invoque AWS Lambda funções; recupere, publique e exclua versões de uma camada Lambda.

  • apigateway: cria, atualiza e exclui recursos do Amazon API Gateway.

  • s3: recupera o arquivo lambda-auth-code/layer.zip de um bucket do Amazon Simple Storage Service (Amazon S3).

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
      ],
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "lambda.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
      ],
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "apigateway.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:UpdateFunctionCode",
        "lambda:ListTags",
        "lambda:InvokeFunction"
      ],
      "Resource": [
        "arn:aws:lambda:*:*:function:sagemaker-*"
      ],
      "Condition": {
        "Null": {
          "aws:ResourceTag/sagemaker:project-name": "false",
          "aws:ResourceTag/sagemaker:partner": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "lambda:CreateFunction",
        "lambda:TagResource"
      ],
      "Resource": [
        "arn:aws:lambda:*:*:function:sagemaker-*"
      ],
      "Condition": {
        "Null": {
          "aws:ResourceTag/sagemaker:project-name": "false",
          "aws:ResourceTag/sagemaker:partner": "false"
        },
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": [
            "sagemaker:project-name",
            "sagemaker:partner"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "lambda:PublishLayerVersion",
        "lambda:GetLayerVersion",
        "lambda:DeleteLayerVersion",
        "lambda:GetFunction"
      ],
      "Resource": [
        "arn:aws:lambda:*:*:layer:sagemaker-*",
        "arn:aws:lambda:*:*:function:sagemaker-*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "apigateway:GET",
        "apigateway:DELETE",
        "apigateway:PATCH",
        "apigateway:POST",
        "apigateway:PUT"
      ],
      "Resource": [
        "arn:aws:apigateway:*::/restapis/*",
        "arn:aws:apigateway:*::/restapis"
      ],
      "Condition": {
        "Null": {
          "aws:ResourceTag/sagemaker:project-name": "false",
          "aws:ResourceTag/sagemaker:partner": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "apigateway:POST",
        "apigateway:PUT"
      ],
      "Resource": [
        "arn:aws:apigateway:*::/restapis",
        "arn:aws:apigateway:*::/tags/*"
      ],
      "Condition": {
        "Null": {
          "aws:ResourceTag/sagemaker:project-name": "false",
          "aws:ResourceTag/sagemaker:partner": "false"
        },
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": [
            "sagemaker:project-name",
            "sagemaker:partner"
          ]
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}
Mostrar maisMostrar menos

AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy

Essa política é usada AWS Lambda dentro dos produtos AWS Service Catalog provisionados do portfólio de SageMaker IA da Amazon. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados pelo Lambda que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • secretsmanager: recupera dados de segredos fornecidos pelo parceiro para um modelo de parceiro.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "arn:aws:secretsmanager:*:*:secret:*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/sagemaker:partner": false
        },
        "StringEquals": {
          "aws:ResourceAccount": "${aws:PrincipalAccount}"
        }
      }
    }
  ]
}
Mostrar maisMostrar menos

AWS política gerenciada: AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy

Essa política é usada pelo Amazon API Gateway nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados pelo API Gateway que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • logs— Crie e leia grupos, fluxos e eventos de CloudWatch registros; atualize eventos; descreva vários recursos.

    Essas permissões são limitadas aos recursos cujo prefixo do grupo de registros começa com "aws/apigateway/”.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogDelivery",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DeleteLogDelivery",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams",
        "logs:DescribeResourcePolicies",
        "logs:DescribeDestinations",
        "logs:DescribeExportTasks",
        "logs:DescribeMetricFilters",
        "logs:DescribeQueries",
        "logs:DescribeQueryDefinitions",
        "logs:DescribeSubscriptionFilters",
        "logs:GetLogDelivery",
        "logs:GetLogEvents",
        "logs:PutLogEvents",
        "logs:PutResourcePolicy",
        "logs:UpdateLogDelivery"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
    }
  ]
}

AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy

Essa política é usada AWS CloudFormation dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados por CloudFormation ela e que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • sagemaker— Permita o acesso a vários recursos de SageMaker IA, excluindo domínios, perfis de usuário, aplicativos e definições de fluxo.

  • iam: passa os perfis AmazonSageMakerServiceCatalogProductsCodeBuildRole e AmazonSageMakerServiceCatalogProductsExecutionRole.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddAssociation",
        "sagemaker:AddTags",
        "sagemaker:AssociateTrialComponent",
        "sagemaker:BatchDescribeModelPackage",
        "sagemaker:BatchGetMetrics",
        "sagemaker:BatchGetRecord",
        "sagemaker:BatchPutMetrics",
        "sagemaker:CreateAction",
        "sagemaker:CreateAlgorithm",
        "sagemaker:CreateApp",
        "sagemaker:CreateAppImageConfig",
        "sagemaker:CreateArtifact",
        "sagemaker:CreateAutoMLJob",
        "sagemaker:CreateCodeRepository",
        "sagemaker:CreateCompilationJob",
        "sagemaker:CreateContext",
        "sagemaker:CreateDataQualityJobDefinition",
        "sagemaker:CreateDeviceFleet",
        "sagemaker:CreateDomain",
        "sagemaker:CreateEdgePackagingJob",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateExperiment",
        "sagemaker:CreateFeatureGroup",
        "sagemaker:CreateFlowDefinition",
        "sagemaker:CreateHumanTaskUi",
        "sagemaker:CreateHyperParameterTuningJob",
        "sagemaker:CreateImage",
        "sagemaker:CreateImageVersion",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:CreateLabelingJob",
        "sagemaker:CreateLineageGroupPolicy",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelBiasJobDefinition",
        "sagemaker:CreateModelExplainabilityJobDefinition",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateModelQualityJobDefinition",
        "sagemaker:CreateMonitoringSchedule",
        "sagemaker:CreateNotebookInstance",
        "sagemaker:CreateNotebookInstanceLifecycleConfig",
        "sagemaker:CreatePipeline",
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:CreatePresignedNotebookInstanceUrl",
        "sagemaker:CreateProcessingJob",
        "sagemaker:CreateProject",
        "sagemaker:CreateTrainingJob",
        "sagemaker:CreateTransformJob",
        "sagemaker:CreateTrial",
        "sagemaker:CreateTrialComponent",
        "sagemaker:CreateUserProfile",
        "sagemaker:CreateWorkforce",
        "sagemaker:CreateWorkteam",
        "sagemaker:DeleteAction",
        "sagemaker:DeleteAlgorithm",
        "sagemaker:DeleteApp",
        "sagemaker:DeleteAppImageConfig",
        "sagemaker:DeleteArtifact",
        "sagemaker:DeleteAssociation",
        "sagemaker:DeleteCodeRepository",
        "sagemaker:DeleteContext",
        "sagemaker:DeleteDataQualityJobDefinition",
        "sagemaker:DeleteDeviceFleet",
        "sagemaker:DeleteDomain",
        "sagemaker:DeleteEndpoint",
        "sagemaker:DeleteEndpointConfig",
        "sagemaker:DeleteExperiment",
        "sagemaker:DeleteFeatureGroup",
        "sagemaker:DeleteFlowDefinition",
        "sagemaker:DeleteHumanLoop",
        "sagemaker:DeleteHumanTaskUi",
        "sagemaker:DeleteImage",
        "sagemaker:DeleteImageVersion",
        "sagemaker:DeleteLineageGroupPolicy",
        "sagemaker:DeleteModel",
        "sagemaker:DeleteModelBiasJobDefinition",
        "sagemaker:DeleteModelExplainabilityJobDefinition",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteModelPackageGroupPolicy",
        "sagemaker:DeleteModelQualityJobDefinition",
        "sagemaker:DeleteMonitoringSchedule",
        "sagemaker:DeleteNotebookInstance",
        "sagemaker:DeleteNotebookInstanceLifecycleConfig",
        "sagemaker:DeletePipeline",
        "sagemaker:DeleteProject",
        "sagemaker:DeleteRecord",
        "sagemaker:DeleteTags",
        "sagemaker:DeleteTrial",
        "sagemaker:DeleteTrialComponent",
        "sagemaker:DeleteUserProfile",
        "sagemaker:DeleteWorkforce",
        "sagemaker:DeleteWorkteam",
        "sagemaker:DeregisterDevices",
        "sagemaker:DescribeAction",
        "sagemaker:DescribeAlgorithm",
        "sagemaker:DescribeApp",
        "sagemaker:DescribeAppImageConfig",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeAutoMLJob",
        "sagemaker:DescribeCodeRepository",
        "sagemaker:DescribeCompilationJob",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeDataQualityJobDefinition",
        "sagemaker:DescribeDevice",
        "sagemaker:DescribeDeviceFleet",
        "sagemaker:DescribeDomain",
        "sagemaker:DescribeEdgePackagingJob",
        "sagemaker:DescribeEndpoint",
        "sagemaker:DescribeEndpointConfig",
        "sagemaker:DescribeExperiment",
        "sagemaker:DescribeFeatureGroup",
        "sagemaker:DescribeFlowDefinition",
        "sagemaker:DescribeHumanLoop",
        "sagemaker:DescribeHumanTaskUi",
        "sagemaker:DescribeHyperParameterTuningJob",
        "sagemaker:DescribeImage",
        "sagemaker:DescribeImageVersion",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeLabelingJob",
        "sagemaker:DescribeLineageGroup",
        "sagemaker:DescribeModel",
        "sagemaker:DescribeModelBiasJobDefinition",
        "sagemaker:DescribeModelExplainabilityJobDefinition",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribeModelQualityJobDefinition",
        "sagemaker:DescribeMonitoringSchedule",
        "sagemaker:DescribeNotebookInstance",
        "sagemaker:DescribeNotebookInstanceLifecycleConfig",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineDefinitionForExecution",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:DescribeProcessingJob",
        "sagemaker:DescribeProject",
        "sagemaker:DescribeSubscribedWorkteam",
        "sagemaker:DescribeTrainingJob",
        "sagemaker:DescribeTransformJob",
        "sagemaker:DescribeTrial",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:DescribeUserProfile",
        "sagemaker:DescribeWorkforce",
        "sagemaker:DescribeWorkteam",
        "sagemaker:DisableSagemakerServicecatalogPortfolio",
        "sagemaker:DisassociateTrialComponent",
        "sagemaker:EnableSagemakerServicecatalogPortfolio",
        "sagemaker:GetDeviceFleetReport",
        "sagemaker:GetDeviceRegistration",
        "sagemaker:GetLineageGroupPolicy",
        "sagemaker:GetModelPackageGroupPolicy",
        "sagemaker:GetRecord",
        "sagemaker:GetSagemakerServicecatalogPortfolioStatus",
        "sagemaker:GetSearchSuggestions",
        "sagemaker:InvokeEndpoint",
        "sagemaker:InvokeEndpointAsync",
        "sagemaker:ListActions",
        "sagemaker:ListAlgorithms",
        "sagemaker:ListAppImageConfigs",
        "sagemaker:ListApps",
        "sagemaker:ListArtifacts",
        "sagemaker:ListAssociations",
        "sagemaker:ListAutoMLJobs",
        "sagemaker:ListCandidatesForAutoMLJob",
        "sagemaker:ListCodeRepositories",
        "sagemaker:ListCompilationJobs",
        "sagemaker:ListContexts",
        "sagemaker:ListDataQualityJobDefinitions",
        "sagemaker:ListDeviceFleets",
        "sagemaker:ListDevices",
        "sagemaker:ListDomains",
        "sagemaker:ListEdgePackagingJobs",
        "sagemaker:ListEndpointConfigs",
        "sagemaker:ListEndpoints",
        "sagemaker:ListExperiments",
        "sagemaker:ListFeatureGroups",
        "sagemaker:ListFlowDefinitions",
        "sagemaker:ListHumanLoops",
        "sagemaker:ListHumanTaskUis",
        "sagemaker:ListHyperParameterTuningJobs",
        "sagemaker:ListImageVersions",
        "sagemaker:ListImages",
        "sagemaker:ListInferenceRecommendationsJobs",
        "sagemaker:ListLabelingJobs",
        "sagemaker:ListLabelingJobsForWorkteam",
        "sagemaker:ListLineageGroups",
        "sagemaker:ListModelBiasJobDefinitions",
        "sagemaker:ListModelExplainabilityJobDefinitions",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackageGroups",
        "sagemaker:ListModelPackages",
        "sagemaker:ListModelQualityJobDefinitions",
        "sagemaker:ListModels",
        "sagemaker:ListMonitoringExecutions",
        "sagemaker:ListMonitoringSchedules",
        "sagemaker:ListNotebookInstanceLifecycleConfigs",
        "sagemaker:ListNotebookInstances",
        "sagemaker:ListPipelineExecutionSteps",
        "sagemaker:ListPipelineExecutions",
        "sagemaker:ListPipelineParametersForExecution",
        "sagemaker:ListPipelines",
        "sagemaker:ListProcessingJobs",
        "sagemaker:ListProjects",
        "sagemaker:ListSubscribedWorkteams",
        "sagemaker:ListTags",
        "sagemaker:ListTrainingJobs",
        "sagemaker:ListTrainingJobsForHyperParameterTuningJob",
        "sagemaker:ListTransformJobs",
        "sagemaker:ListTrialComponents",
        "sagemaker:ListTrials",
        "sagemaker:ListUserProfiles",
        "sagemaker:ListWorkforces",
        "sagemaker:ListWorkteams",
        "sagemaker:PutLineageGroupPolicy",
        "sagemaker:PutModelPackageGroupPolicy",
        "sagemaker:PutRecord",
        "sagemaker:QueryLineage",
        "sagemaker:RegisterDevices",
        "sagemaker:RenderUiTemplate",
        "sagemaker:Search",
        "sagemaker:SendHeartbeat",
        "sagemaker:SendPipelineExecutionStepFailure",
        "sagemaker:SendPipelineExecutionStepSuccess",
        "sagemaker:StartHumanLoop",
        "sagemaker:StartMonitoringSchedule",
        "sagemaker:StartNotebookInstance",
        "sagemaker:StartPipelineExecution",
        "sagemaker:StopAutoMLJob",
        "sagemaker:StopCompilationJob",
        "sagemaker:StopEdgePackagingJob",
        "sagemaker:StopHumanLoop",
        "sagemaker:StopHyperParameterTuningJob",
        "sagemaker:StopInferenceRecommendationsJob",
        "sagemaker:StopLabelingJob",
        "sagemaker:StopMonitoringSchedule",
        "sagemaker:StopNotebookInstance",
        "sagemaker:StopPipelineExecution",
        "sagemaker:StopProcessingJob",
        "sagemaker:StopTrainingJob",
        "sagemaker:StopTransformJob",
        "sagemaker:UpdateAction",
        "sagemaker:UpdateAppImageConfig",
        "sagemaker:UpdateArtifact",
        "sagemaker:UpdateCodeRepository",
        "sagemaker:UpdateContext",
        "sagemaker:UpdateDeviceFleet",
        "sagemaker:UpdateDevices",
        "sagemaker:UpdateDomain",
        "sagemaker:UpdateEndpoint",
        "sagemaker:UpdateEndpointWeightsAndCapacities",
        "sagemaker:UpdateExperiment",
        "sagemaker:UpdateImage",
        "sagemaker:UpdateModelPackage",
        "sagemaker:UpdateMonitoringSchedule",
        "sagemaker:UpdateNotebookInstance",
        "sagemaker:UpdateNotebookInstanceLifecycleConfig",
        "sagemaker:UpdatePipeline",
        "sagemaker:UpdatePipelineExecution",
        "sagemaker:UpdateProject",
        "sagemaker:UpdateTrainingJob",
        "sagemaker:UpdateTrial",
        "sagemaker:UpdateTrialComponent",
        "sagemaker:UpdateUserProfile",
        "sagemaker:UpdateWorkforce",
        "sagemaker:UpdateWorkteam"
      ],
      "NotResource": [
        "arn:aws:sagemaker:*:*:domain/*",
        "arn:aws:sagemaker:*:*:user-profile/*",
        "arn:aws:sagemaker:*:*:app/*",
        "arn:aws:sagemaker:*:*:flow-definition/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
        "arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
      ]
    }
  ]
}
Mostrar maisMostrar menos

AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy

Essa política é usada AWS CodeBuild dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados por CodeBuild ela e que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • sagemaker— Permita o acesso a vários recursos de SageMaker IA.

  • codecommit— Faça upload CodeCommit de arquivos para CodeBuild pipelines, obtenha o status do upload e cancele os uploads; obtenha as informações da filial e confirme. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”.

  • ecr: cria repositórios e imagens de contêineres do Amazon ECR; faz o upload de camadas de imagem. Essas permissões são limitadas aos repositórios cujo nome começa com “sagemaker-”.

    ecr: lê todos os recursos.

  • iam: passa os seguintes perfis:

    • AmazonSageMakerServiceCatalogProductsCloudformationRolepara AWS CloudFormation.

    • AmazonSageMakerServiceCatalogProductsCodeBuildRolepara AWS CodeBuild.

    • AmazonSageMakerServiceCatalogProductsCodePipelineRolepara AWS CodePipeline.

    • AmazonSageMakerServiceCatalogProductsEventsRolepara a Amazon EventBridge.

    • AmazonSageMakerServiceCatalogProductsExecutionRolepara a Amazon SageMaker AI.

  • logs— Crie e leia grupos, fluxos e eventos de CloudWatch registros; atualize eventos; descreva vários recursos.

    Essas permissões são limitadas aos recursos cujo prefixo de nome começa com "aws/codebuild/”.

  • s3: cria, lê e lista os buckets do Amazon S3. Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-”.

  • codeconnections, codestar-connections — Uso Conexões de código da AWS e AWS CodeStar conexões.

Para ver as permissões dessa política, consulte AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicyna Referência de política AWS gerenciada.

AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy

Essa política é usada AWS CodePipeline dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados por CodePipeline ela e que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • cloudformation— criar, ler, excluir e atualizar CloudFormation pilhas; criar, ler, excluir e executar conjuntos de alterações; definir políticas de pilha; marcar e desmarcar recursos. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”.

  • s3: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL); e lê a região da AWS em que o bucket reside.

    Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.

  • iam: passa o perfil AmazonSageMakerServiceCatalogProductsCloudformationRole.

  • codebuild— Obtenha informações de CodeBuild construção e inicie as construções. Essas permissões são limitadas aos recursos do projeto e da compilação cujo nome começa com “sagemaker-”.

  • codecommit— Faça upload CodeCommit de arquivos para CodeBuild pipelines, obtenha o status do upload e cancele os uploads; obtenha as informações da filial e confirme.

  • codeconnections, codestar-connections — Uso Conexões de código da AWS e AWS CodeStar conexões.

Para ver as permissões dessa política, consulte AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicyna Referência de política AWS gerenciada.

AWS política gerenciada: AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy

Essa política é usada pela Amazon EventBridge nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados por EventBridge ela e que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • codepipeline— Inicie uma CodeBuild execução. Essas permissões são limitadas aos pipelines cujo nome começa com “sagemaker-”.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "codepipeline:StartPipelineExecution",
      "Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
    }
  ]
}

AWS política gerenciada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy

Essa política é usada pelo Amazon Data Firehose nos produtos AWS Service Catalog provisionados do portfólio Amazon AI. SageMaker A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados pelo Firehose que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • firehose: envia registros do Firehose. Essas permissões são limitadas aos recursos cujo nome de fluxo de entrega começa com “sagemaker-”.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "firehose:PutRecord",
        "firehose:PutRecordBatch"
      ],
      "Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
    }
  ]
}

AWS política gerenciada: AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy

Essa política é usada pela AWS Glue nos produtos provisionados pelo AWS Service Catalog do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é AmazonSageMakerServiceCatalogProductsLaunchRoletransferida para os AWS recursos criados pelo Glue que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • glue— Crie, leia e exclua partições, tabelas e versões de tabelas do AWS Glue. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”. Crie e leia bancos de dados AWS Glue. Essas permissões são limitadas a bancos de dados cujo nome é “default”, “global_temp” ou começa com “sagemaker-”. Obtenha as funções definidas pelo usuário.

  • s3: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL) e lê a região da AWS em que o bucket reside.

    Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.

  • logs— Crie, leia e exclua grupos de CloudWatch registros, fluxos e entregas de registros de registros e crie uma política de recursos.

    Essas permissões são limitadas aos recursos cujo prefixo de nome começa com "aws/glue/”.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:BatchCreatePartition",
        "glue:BatchDeletePartition",
        "glue:BatchDeleteTable",
        "glue:BatchDeleteTableVersion",
        "glue:BatchGetPartition",
        "glue:CreateDatabase",
        "glue:CreatePartition",
        "glue:CreateTable",
        "glue:DeletePartition",
        "glue:DeleteTable",
        "glue:DeleteTableVersion",
        "glue:GetDatabase",
        "glue:GetPartition",
        "glue:GetPartitions",
        "glue:GetTable",
        "glue:GetTables",
        "glue:GetTableVersion",
        "glue:GetTableVersions",
        "glue:SearchTables",
        "glue:UpdatePartition",
        "glue:UpdateTable",
        "glue:GetUserDefinedFunctions"
      ],
      "Resource": [
        "arn:aws:glue:*:*:catalog",
        "arn:aws:glue:*:*:database/default",
        "arn:aws:glue:*:*:database/global_temp",
        "arn:aws:glue:*:*:database/sagemaker-*",
        "arn:aws:glue:*:*:table/sagemaker-*",
        "arn:aws:glue:*:*:tableVersion/sagemaker-*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucket",
        "s3:GetBucketAcl",
        "s3:GetBucketCors",
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:ListBucket",
        "s3:ListBucketMultipartUploads",
        "s3:PutBucketCors"
      ],
      "Resource": [
        "arn:aws:s3:::aws-glue-*",
        "arn:aws:s3:::sagemaker-*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:AbortMultipartUpload",
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::aws-glue-*",
        "arn:aws:s3:::sagemaker-*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogDelivery",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DeleteLogDelivery",
        "logs:Describe*",
        "logs:GetLogDelivery",
        "logs:GetLogEvents",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:PutResourcePolicy",
        "logs:UpdateLogDelivery"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
    }
  ]
}

AWS política gerenciada: AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy

Essa política é usada AWS Lambda dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada AmazonSageMakerServiceCatalogProductsLaunchRolepara os AWS recursos criados pelo Lambda que exigem uma função.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • sagemaker— Permita o acesso a vários recursos de SageMaker IA.

  • ecr: cria e exclui repositórios do Amazon ECR; cria, lê e exclui imagens de contêineres; faz upload de camadas de imagem. Essas permissões são limitadas aos repositórios cujo nome começa com “sagemaker-”.

  • events— Crie, leia e exclua as EventBridge regras da Amazon; e crie e remova alvos. Essas permissões são limitadas às regras cujo nome começa com “sagemaker-”.

  • s3: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL) e lê a região da AWS em que o bucket reside.

    Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.

  • iam: passa o perfil AmazonSageMakerServiceCatalogProductsExecutionRole.

  • logs— Crie, leia e exclua grupos de CloudWatch registros, fluxos e entregas de registros de registros e crie uma política de recursos.

    Essas permissões são limitadas aos recursos cujo prefixo de nome começa com "aws/lambda/”.

  • codebuild— Comece e obtenha informações sobre AWS CodeBuild construções.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid" : "AmazonSageMakerLambdaECRPermission",
      "Effect": "Allow",
      "Action": [
        "ecr:DescribeImages",
        "ecr:BatchDeleteImage",
        "ecr:CompleteLayerUpload",
        "ecr:CreateRepository",
        "ecr:DeleteRepository",
        "ecr:InitiateLayerUpload",
        "ecr:PutImage",
        "ecr:UploadLayerPart"
      ],
      "Resource": [
        "arn:aws:ecr:*:*:repository/sagemaker-*"
      ]
    },
    {
      "Sid" : "AmazonSageMakerLambdaEventBridgePermission",
      "Effect": "Allow",
      "Action": [
        "events:DeleteRule",
        "events:DescribeRule",
        "events:PutRule",
        "events:PutTargets",
        "events:RemoveTargets"
      ],
      "Resource": [
        "arn:aws:events:*:*:rule/sagemaker-*"
      ]
    },
    {
      "Sid" : "AmazonSageMakerLambdaS3BucketPermission",
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:DeleteBucket",
        "s3:GetBucketAcl",
        "s3:GetBucketCors",
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:ListBucket",
        "s3:ListBucketMultipartUploads",
        "s3:PutBucketCors"
      ],
      "Resource": [
        "arn:aws:s3:::aws-glue-*",
        "arn:aws:s3:::sagemaker-*"
      ]
    },
    {
      "Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
      "Effect": "Allow",
      "Action": [
        "s3:AbortMultipartUpload",
        "s3:DeleteObject",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::aws-glue-*",
        "arn:aws:s3:::sagemaker-*"
      ]
    },
    {
      "Sid" : "AmazonSageMakerLambdaSageMakerPermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddAssociation",
        "sagemaker:AddTags",
        "sagemaker:AssociateTrialComponent",
        "sagemaker:BatchDescribeModelPackage",
        "sagemaker:BatchGetMetrics",
        "sagemaker:BatchGetRecord",
        "sagemaker:BatchPutMetrics",
        "sagemaker:CreateAction",
        "sagemaker:CreateAlgorithm",
        "sagemaker:CreateApp",
        "sagemaker:CreateAppImageConfig",
        "sagemaker:CreateArtifact",
        "sagemaker:CreateAutoMLJob",
        "sagemaker:CreateCodeRepository",
        "sagemaker:CreateCompilationJob",
        "sagemaker:CreateContext",
        "sagemaker:CreateDataQualityJobDefinition",
        "sagemaker:CreateDeviceFleet",
        "sagemaker:CreateDomain",
        "sagemaker:CreateEdgePackagingJob",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateExperiment",
        "sagemaker:CreateFeatureGroup",
        "sagemaker:CreateFlowDefinition",
        "sagemaker:CreateHumanTaskUi",
        "sagemaker:CreateHyperParameterTuningJob",
        "sagemaker:CreateImage",
        "sagemaker:CreateImageVersion",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:CreateLabelingJob",
        "sagemaker:CreateLineageGroupPolicy",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelBiasJobDefinition",
        "sagemaker:CreateModelExplainabilityJobDefinition",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateModelQualityJobDefinition",
        "sagemaker:CreateMonitoringSchedule",
        "sagemaker:CreateNotebookInstance",
        "sagemaker:CreateNotebookInstanceLifecycleConfig",
        "sagemaker:CreatePipeline",
        "sagemaker:CreatePresignedDomainUrl",
        "sagemaker:CreatePresignedNotebookInstanceUrl",
        "sagemaker:CreateProcessingJob",
        "sagemaker:CreateProject",
        "sagemaker:CreateTrainingJob",
        "sagemaker:CreateTransformJob",
        "sagemaker:CreateTrial",
        "sagemaker:CreateTrialComponent",
        "sagemaker:CreateUserProfile",
        "sagemaker:CreateWorkforce",
        "sagemaker:CreateWorkteam",
        "sagemaker:DeleteAction",
        "sagemaker:DeleteAlgorithm",
        "sagemaker:DeleteApp",
        "sagemaker:DeleteAppImageConfig",
        "sagemaker:DeleteArtifact",
        "sagemaker:DeleteAssociation",
        "sagemaker:DeleteCodeRepository",
        "sagemaker:DeleteContext",
        "sagemaker:DeleteDataQualityJobDefinition",
        "sagemaker:DeleteDeviceFleet",
        "sagemaker:DeleteDomain",
        "sagemaker:DeleteEndpoint",
        "sagemaker:DeleteEndpointConfig",
        "sagemaker:DeleteExperiment",
        "sagemaker:DeleteFeatureGroup",
        "sagemaker:DeleteFlowDefinition",
        "sagemaker:DeleteHumanLoop",
        "sagemaker:DeleteHumanTaskUi",
        "sagemaker:DeleteImage",
        "sagemaker:DeleteImageVersion",
        "sagemaker:DeleteLineageGroupPolicy",
        "sagemaker:DeleteModel",
        "sagemaker:DeleteModelBiasJobDefinition",
        "sagemaker:DeleteModelExplainabilityJobDefinition",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteModelPackageGroupPolicy",
        "sagemaker:DeleteModelQualityJobDefinition",
        "sagemaker:DeleteMonitoringSchedule",
        "sagemaker:DeleteNotebookInstance",
        "sagemaker:DeleteNotebookInstanceLifecycleConfig",
        "sagemaker:DeletePipeline",
        "sagemaker:DeleteProject",
        "sagemaker:DeleteRecord",
        "sagemaker:DeleteTags",
        "sagemaker:DeleteTrial",
        "sagemaker:DeleteTrialComponent",
        "sagemaker:DeleteUserProfile",
        "sagemaker:DeleteWorkforce",
        "sagemaker:DeleteWorkteam",
        "sagemaker:DeregisterDevices",
        "sagemaker:DescribeAction",
        "sagemaker:DescribeAlgorithm",
        "sagemaker:DescribeApp",
        "sagemaker:DescribeAppImageConfig",
        "sagemaker:DescribeArtifact",
        "sagemaker:DescribeAutoMLJob",
        "sagemaker:DescribeCodeRepository",
        "sagemaker:DescribeCompilationJob",
        "sagemaker:DescribeContext",
        "sagemaker:DescribeDataQualityJobDefinition",
        "sagemaker:DescribeDevice",
        "sagemaker:DescribeDeviceFleet",
        "sagemaker:DescribeDomain",
        "sagemaker:DescribeEdgePackagingJob",
        "sagemaker:DescribeEndpoint",
        "sagemaker:DescribeEndpointConfig",
        "sagemaker:DescribeExperiment",
        "sagemaker:DescribeFeatureGroup",
        "sagemaker:DescribeFlowDefinition",
        "sagemaker:DescribeHumanLoop",
        "sagemaker:DescribeHumanTaskUi",
        "sagemaker:DescribeHyperParameterTuningJob",
        "sagemaker:DescribeImage",
        "sagemaker:DescribeImageVersion",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeLabelingJob",
        "sagemaker:DescribeLineageGroup",
        "sagemaker:DescribeModel",
        "sagemaker:DescribeModelBiasJobDefinition",
        "sagemaker:DescribeModelExplainabilityJobDefinition",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribeModelQualityJobDefinition",
        "sagemaker:DescribeMonitoringSchedule",
        "sagemaker:DescribeNotebookInstance",
        "sagemaker:DescribeNotebookInstanceLifecycleConfig",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineDefinitionForExecution",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:DescribeProcessingJob",
        "sagemaker:DescribeProject",
        "sagemaker:DescribeSubscribedWorkteam",
        "sagemaker:DescribeTrainingJob",
        "sagemaker:DescribeTransformJob",
        "sagemaker:DescribeTrial",
        "sagemaker:DescribeTrialComponent",
        "sagemaker:DescribeUserProfile",
        "sagemaker:DescribeWorkforce",
        "sagemaker:DescribeWorkteam",
        "sagemaker:DisableSagemakerServicecatalogPortfolio",
        "sagemaker:DisassociateTrialComponent",
        "sagemaker:EnableSagemakerServicecatalogPortfolio",
        "sagemaker:GetDeviceFleetReport",
        "sagemaker:GetDeviceRegistration",
        "sagemaker:GetLineageGroupPolicy",
        "sagemaker:GetModelPackageGroupPolicy",
        "sagemaker:GetRecord",
        "sagemaker:GetSagemakerServicecatalogPortfolioStatus",
        "sagemaker:GetSearchSuggestions",
        "sagemaker:InvokeEndpoint",
        "sagemaker:InvokeEndpointAsync",
        "sagemaker:ListActions",
        "sagemaker:ListAlgorithms",
        "sagemaker:ListAppImageConfigs",
        "sagemaker:ListApps",
        "sagemaker:ListArtifacts",
        "sagemaker:ListAssociations",
        "sagemaker:ListAutoMLJobs",
        "sagemaker:ListCandidatesForAutoMLJob",
        "sagemaker:ListCodeRepositories",
        "sagemaker:ListCompilationJobs",
        "sagemaker:ListContexts",
        "sagemaker:ListDataQualityJobDefinitions",
        "sagemaker:ListDeviceFleets",
        "sagemaker:ListDevices",
        "sagemaker:ListDomains",
        "sagemaker:ListEdgePackagingJobs",
        "sagemaker:ListEndpointConfigs",
        "sagemaker:ListEndpoints",
        "sagemaker:ListExperiments",
        "sagemaker:ListFeatureGroups",
        "sagemaker:ListFlowDefinitions",
        "sagemaker:ListHumanLoops",
        "sagemaker:ListHumanTaskUis",
        "sagemaker:ListHyperParameterTuningJobs",
        "sagemaker:ListImageVersions",
        "sagemaker:ListImages",
        "sagemaker:ListInferenceRecommendationsJobs",
        "sagemaker:ListLabelingJobs",
        "sagemaker:ListLabelingJobsForWorkteam",
        "sagemaker:ListLineageGroups",
        "sagemaker:ListModelBiasJobDefinitions",
        "sagemaker:ListModelExplainabilityJobDefinitions",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackageGroups",
        "sagemaker:ListModelPackages",
        "sagemaker:ListModelQualityJobDefinitions",
        "sagemaker:ListModels",
        "sagemaker:ListMonitoringExecutions",
        "sagemaker:ListMonitoringSchedules",
        "sagemaker:ListNotebookInstanceLifecycleConfigs",
        "sagemaker:ListNotebookInstances",
        "sagemaker:ListPipelineExecutionSteps",
        "sagemaker:ListPipelineExecutions",
        "sagemaker:ListPipelineParametersForExecution",
        "sagemaker:ListPipelines",
        "sagemaker:ListProcessingJobs",
        "sagemaker:ListProjects",
        "sagemaker:ListSubscribedWorkteams",
        "sagemaker:ListTags",
        "sagemaker:ListTrainingJobs",
        "sagemaker:ListTrainingJobsForHyperParameterTuningJob",
        "sagemaker:ListTransformJobs",
        "sagemaker:ListTrialComponents",
        "sagemaker:ListTrials",
        "sagemaker:ListUserProfiles",
        "sagemaker:ListWorkforces",
        "sagemaker:ListWorkteams",
        "sagemaker:PutLineageGroupPolicy",
        "sagemaker:PutModelPackageGroupPolicy",
        "sagemaker:PutRecord",
        "sagemaker:QueryLineage",
        "sagemaker:RegisterDevices",
        "sagemaker:RenderUiTemplate",
        "sagemaker:Search",
        "sagemaker:SendHeartbeat",
        "sagemaker:SendPipelineExecutionStepFailure",
        "sagemaker:SendPipelineExecutionStepSuccess",
        "sagemaker:StartHumanLoop",
        "sagemaker:StartMonitoringSchedule",
        "sagemaker:StartNotebookInstance",
        "sagemaker:StartPipelineExecution",
        "sagemaker:StopAutoMLJob",
        "sagemaker:StopCompilationJob",
        "sagemaker:StopEdgePackagingJob",
        "sagemaker:StopHumanLoop",
        "sagemaker:StopHyperParameterTuningJob",
        "sagemaker:StopInferenceRecommendationsJob",
        "sagemaker:StopLabelingJob",
        "sagemaker:StopMonitoringSchedule",
        "sagemaker:StopNotebookInstance",
        "sagemaker:StopPipelineExecution",
        "sagemaker:StopProcessingJob",
        "sagemaker:StopTrainingJob",
        "sagemaker:StopTransformJob",
        "sagemaker:UpdateAction",
        "sagemaker:UpdateAppImageConfig",
        "sagemaker:UpdateArtifact",
        "sagemaker:UpdateCodeRepository",
        "sagemaker:UpdateContext",
        "sagemaker:UpdateDeviceFleet",
        "sagemaker:UpdateDevices",
        "sagemaker:UpdateDomain",
        "sagemaker:UpdateEndpoint",
        "sagemaker:UpdateEndpointWeightsAndCapacities",
        "sagemaker:UpdateExperiment",
        "sagemaker:UpdateImage",
        "sagemaker:UpdateModelPackage",
        "sagemaker:UpdateMonitoringSchedule",
        "sagemaker:UpdateNotebookInstance",
        "sagemaker:UpdateNotebookInstanceLifecycleConfig",
        "sagemaker:UpdatePipeline",
        "sagemaker:UpdatePipelineExecution",
        "sagemaker:UpdateProject",
        "sagemaker:UpdateTrainingJob",
        "sagemaker:UpdateTrial",
        "sagemaker:UpdateTrialComponent",
        "sagemaker:UpdateUserProfile",
        "sagemaker:UpdateWorkforce",
        "sagemaker:UpdateWorkteam"
      ],
      "Resource": [
        "arn:aws:sagemaker:*:*:action/*",
        "arn:aws:sagemaker:*:*:algorithm/*",
        "arn:aws:sagemaker:*:*:app-image-config/*",
        "arn:aws:sagemaker:*:*:artifact/*",
        "arn:aws:sagemaker:*:*:automl-job/*",
        "arn:aws:sagemaker:*:*:code-repository/*",
        "arn:aws:sagemaker:*:*:compilation-job/*",
        "arn:aws:sagemaker:*:*:context/*",
        "arn:aws:sagemaker:*:*:data-quality-job-definition/*",
        "arn:aws:sagemaker:*:*:device-fleet/*/device/*",
        "arn:aws:sagemaker:*:*:device-fleet/*",
        "arn:aws:sagemaker:*:*:edge-packaging-job/*",
        "arn:aws:sagemaker:*:*:endpoint/*",
        "arn:aws:sagemaker:*:*:endpoint-config/*",
        "arn:aws:sagemaker:*:*:experiment/*",
        "arn:aws:sagemaker:*:*:experiment-trial/*",
        "arn:aws:sagemaker:*:*:experiment-trial-component/*",
        "arn:aws:sagemaker:*:*:feature-group/*",
        "arn:aws:sagemaker:*:*:human-loop/*",
        "arn:aws:sagemaker:*:*:human-task-ui/*",
        "arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
        "arn:aws:sagemaker:*:*:image/*",
        "arn:aws:sagemaker:*:*:image-version/*/*",
        "arn:aws:sagemaker:*:*:inference-recommendations-job/*",
        "arn:aws:sagemaker:*:*:labeling-job/*",
        "arn:aws:sagemaker:*:*:model/*",
        "arn:aws:sagemaker:*:*:model-bias-job-definition/*",
        "arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
        "arn:aws:sagemaker:*:*:model-package/*",
        "arn:aws:sagemaker:*:*:model-package-group/*",
        "arn:aws:sagemaker:*:*:model-quality-job-definition/*",
        "arn:aws:sagemaker:*:*:monitoring-schedule/*",
        "arn:aws:sagemaker:*:*:notebook-instance/*",
        "arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
        "arn:aws:sagemaker:*:*:pipeline/*",
        "arn:aws:sagemaker:*:*:pipeline/*/execution/*",
        "arn:aws:sagemaker:*:*:processing-job/*",
        "arn:aws:sagemaker:*:*:project/*",
        "arn:aws:sagemaker:*:*:training-job/*",
        "arn:aws:sagemaker:*:*:transform-job/*",
        "arn:aws:sagemaker:*:*:workforce/*",
        "arn:aws:sagemaker:*:*:workteam/*"
      ]
    },
    {
      "Sid" : "AmazonSageMakerLambdaPassRolePermission",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
      ]
    },
    {
      "Sid" : "AmazonSageMakerLambdaLogPermission",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogDelivery",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DeleteLogDelivery",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams",
        "logs:DescribeResourcePolicies",
        "logs:DescribeDestinations",
        "logs:DescribeExportTasks",
        "logs:DescribeMetricFilters",
        "logs:DescribeQueries",
        "logs:DescribeQueryDefinitions",
        "logs:DescribeSubscriptionFilters",
        "logs:GetLogDelivery",
        "logs:GetLogEvents",
        "logs:ListLogDeliveries",
        "logs:PutLogEvents",
        "logs:PutResourcePolicy",
        "logs:UpdateLogDelivery"
      ],
      "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
    },
    {
      "Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
      "Effect": "Allow",
      "Action": [
        "codebuild:StartBuild",
        "codebuild:BatchGetBuilds"
      ],
      "Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
      "Condition": {
        "StringLike": {
          "aws:ResourceTag/sagemaker:project-name": "*"
        }
      }
    }
  ]
}
Mostrar maisMostrar menos

Atualizações da Amazon SageMaker AI para AWS Service Catalog AWS políticas gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.

Política Versão Alteração Data

AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: política atualizada

 10

Atualizado codestar-connections:PassConnection e com codeconnections:PassConnection permissões.

 27 de setembro de 2025

AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy: Atualizar política

 3

Atualizado codestar-connections:UseConnection e com codeconnections:UseConnection permissões.

 27 de setembro de 2025

AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy: Atualizar política

 3

Atualizado codestar-connections:UseConnection e com codeconnections:UseConnection permissões.

 27 de setembro de 2025

AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: Atualizar política

 9

Adicione permissões cloudformation:TagResource, cloudformation:UntagResource e codeconnections:PassConnection.

 1º de julho de 2024

AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - Política atualizada

 7

Reverta a política para a versão 7 (v7). Remova as permissões cloudformation:TagResource, cloudformation:UntagResource e codeconnections:PassConnection.

 12 de junho de 2024

AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - Política atualizada

 8

Adicione permissões cloudformation:TagResource, cloudformation:UntagResource e codeconnections:PassConnection.

 11 de junho de 2024

AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy: política atualizada

 2

Adicione permissões codestar-connections:UseConnection e codeconnections:UseConnection.

 11 de junho de 2024

AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy: política atualizada

 2

Adicione as permissões cloudformation:TagResource, cloudformation:UntagResource, codestar-connections:UseConnection e codeconnections:UseConnection.

 11 de junho de 2024

AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy: política atualizada

 2

Adicione permissões codebuild:StartBuild e codebuild:BatchGetBuilds.

 11 de junho de 2024

AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy

 1

Política inicial

 1º de agosto de 2023

AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy

 1

Política inicial

 1º de agosto de 2023

AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy

 1

Política inicial

 1º de agosto de 2023

AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy: política atualizada

 2

Adicione permissão para glue:GetUserDefinedFunctions.

 26 de agosto de 2022

AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - Política atualizada

 7

Adicione permissão para sagemaker:AddTags.

 2 de agosto de 2022
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - Política atualizada 6

Adicione permissão para lambda:TagResource.

 14 de julho de 2022

AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy

 1

Política inicial

 4 de abril de 2022

AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy

 1

Política inicial

 24 de março de 2022

AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy

 1

Política inicial

 24 de março de 2022

AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy

 1

Política inicial

 24 de março de 2022
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - Política atualizada 5

Adicione permissão para ecr-idp:TagResource.

 21 de março de 2022

AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy

 1

Política inicial

 22 de fevereiro de 2022

AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy

 1

Política inicial

 22 de fevereiro de 2022

AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy

 1

Política inicial

 22 de fevereiro de 2022
AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy 1

Política inicial

 22 de fevereiro de 2022
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - Política atualizada 4

Adicione permissões para cognito-idp:TagResource e s3:PutBucketCORS.

 16 de fevereiro de 2022
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - Política atualizada 3

Adicione novas permissões para sagemaker.

Crie, leia, atualize e exclua SageMaker imagens.

 15 de setembro de 2021
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy - Política atualizada 2

Adicione permissões para sagemaker e codestar-connections.

Crie, leia, atualize e exclua repositórios de código.

Passe AWS CodeStar conexões para AWS CodePipeline.

 1.º de julho de 2021
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy 1

Política inicial

 27 de novembro de 2020