本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS SageMaker 管道的受管政策
這些 AWS 受管政策新增使用 SageMaker 管道所需的許可。這些政策可在您的帳戶中使用, AWS 並由從 SageMaker AI 主控台建立的執行角色使用。
**Topics**
+ [AWS 受管政策:AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI 更新 SageMaker AI Pipelines 受管政策](#security-iam-awsmanpol-pipelines-updates)
## AWS 受管政策:AmazonSageMakerPipelinesIntegrations
此 AWS 受管政策會授予在 SageMaker Pipelines 中使用回呼步驟和 Lambda 步驟時通常需要的許可。政策會新增至您加入 Amazon SageMaker Studio Classic 時所建立的 `AmazonSageMaker-ExecutionRole`。政策可附加至用於編寫或執行管道的任何角色。
此政策會授予適當的 AWS Lambda、Amazon Simple Queue Service (Amazon SQS)、Amazon EventBridge 和 IAM 許可,這些許可在建置叫用 Lambda 函數或包含回呼步驟的管道時需要,可用於手動核准步驟或執行自訂工作負載。
Amazon SQS 許可可讓您建立接收回電訊息所需的 Amazon SQS 佇列,以及將訊息傳送到該佇列。
Lambda 許可可讓您建立、讀取、更新和刪除管道步驟中使用的 Lambda 函式,也可以調用這些 Lambda 函式。
此政策授予執行管道 Amazon EMR 步驟所需的 Amazon EMR 許可。
**許可詳細資訊**
此政策包含以下許可。
+ `elasticmapreduce` - 讀取、新增和取消執行中的 Amazon EMR 叢集中步驟。讀取、建立和終止新的 Amazon EMR 叢集。
+ `events` - 讀取、建立、更新和新增目標至名為 `SageMakerPipelineExecutionEMRStepStatusUpdateRule` 和 `SageMakerPipelineExecutionEMRClusterStatusUpdateRule` 的 EventBridge 規則。
+ `iam` – 將 IAM 角色傳遞至 AWS Lambda 服務、Amazon EMR 和 Amazon EC2。
+ `lambda` - 建立、讀取、更新、刪除和調用 Lambda 函式。這些權限僅限於名稱包含 “sagemaker” 的功能。
+ `sqs` - 建立 Amazon SQS 佇列;傳送 Amazon SQS 訊息。這些許可僅限於名稱包含 “sagemaker” 的佇列。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI 更新 SageMaker AI Pipelines 受管政策
檢視自此服務開始追蹤 Amazon SageMaker AI AWS 受管政策更新以來的詳細資訊。
| 政策 | 版本 | 變更 | Date |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - 更新現有政策 | 3 | 已新增`elasticmapreduce:RunJobFlows`、`elasticmapreduce:TerminateJobFlows`、`elasticmapreduce:ListSteps` 和 `elasticmapreduce:DescribeCluster` 的許可。 | 2023 年 2 月 17 日 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - 更新現有政策 | 2 | 已新增`lambda:GetFunction`、`events:DescribeRule`、`events:PutRule`、`events:PutTargets`、`elasticmapreduce:AddJobFlowSteps`、`elasticmapreduce:CancelSteps` 和 `elasticmapreduce:DescribeStep` 的許可。 | 2022 年 4 月 20 日 |
| AmazonSageMakerPipelinesIntegrations - 新政策 | 1 | 初始政策 | 2021 年 7 月 30 日 |