本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 管道托 SageMaker 管策略
这些 AWS 托管策略添加了使用 SageMaker 管道所需的权限。这些策略可在您的 AWS 账户中使用,并由从 SageMaker AI 控制台创建的执行角色使用。
**Topics**
+ [AWS 托管策略: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI 更新了 SageMaker AI Pipelines 托管策略](#security-iam-awsmanpol-pipelines-updates)
## AWS 托管策略: AmazonSageMakerPipelinesIntegrations
此 AWS 托管策略授予在管道中 SageMaker 使用回调步骤和 Lambda 步骤通常所需的权限。该政策将添加到您加入 Amazon SageMaker Studio Classic 时创建的策略中。`AmazonSageMaker-ExecutionRole`此策略可以附加到用于创作或执行管道的任何角色。
该策略授予构建调用 AWS Lambda 函数或包含回调步骤的管道时所需的相应的 Lambda、 EventBridge亚马逊简单队列服务 (Amazon SQS)、Amazon 和 IAM 权限,这些权限可用于手动批准步骤或运行自定义工作负载。
Amazon SQS 权限允许您创建接收回调消息所需的 Amazon SQS 队列,也可以向该队列发送消息。
Lambda 权限允许您创建、读取、更新和删除管道步骤中使用的 Lambda 函数,也可以调用这些 Lambda 函数。
此策略授予运行管道 Amazon EMR 步骤所需的 Amazon EMR 权限。
**权限详细信息**
该策略包含以下权限。
+ `elasticmapreduce` - 读取、添加和取消正在运行的 Amazon EMR 集群中的步骤。读取、创建和终止新的 Amazon EMR 集群。
+ `events`— 读取、创建、更新目标并将其添加到名为`SageMakerPipelineExecutionEMRStepStatusUpdateRule`和的 EventBridge 规则中`SageMakerPipelineExecutionEMRClusterStatusUpdateRule`。
+ `iam`— 将 IAM 角色传递给 AWS Lambda 服务、亚马逊 EMR 和亚马逊 EC2。
+ `lambda` - 创建、读取、更新、删除和调用 Lambda 函数。这些权限仅限于名称包含“sagemaker”的函数。
+ `sqs` - 创建 Amazon SQS 队列;发送 Amazon SQS 消息。这些权限仅限于名称包含“sagemaker”的队列。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI 更新了 SageMaker AI Pipelines 托管策略
查看自该服务开始跟踪这些更改以来,Amazon SageMaker AI AWS 托管策略更新的详细信息。
| Policy | 版本 | 更改 | 日期 |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) – 对现有策略的更新 | 3 | 添加了 `elasticmapreduce:RunJobFlows`、`elasticmapreduce:TerminateJobFlows`、`elasticmapreduce:ListSteps` 和 `elasticmapreduce:DescribeCluster` 的权限。 | 2023 年 2 月 17 日 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) – 对现有策略的更新 | 2 | 添加了 `lambda:GetFunction`、`events:DescribeRule`、`events:PutRule`、`events:PutTargets`、`elasticmapreduce:AddJobFlowSteps`、`elasticmapreduce:CancelSteps` 和 `elasticmapreduce:DescribeStep` 的权限。 | 2022 年 4 月 20 日 |
| AmazonSageMakerPipelinesIntegrations -新政策 | 1 | 初始策略 | 2021 年 7 月 30 日 |