AWS Verwaltete Richtlinien für Amazon SageMaker Ground Truth - Amazon SageMaker AI
AmazonSageMakerGroundTruthExecutionRichtlinien-Updates von SageMaker AI Ground Truth

AWS Verwaltete Richtlinien für Amazon SageMaker Ground Truth

Diese verwalteten AWS-Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von SageMaker AI Ground Truth erforderlich sind. Die Richtlinien sind in Ihrem AWS-Konto verfügbar und werden von Ausführungsrollen verwendet, die über die SageMaker-AI-Konsole erstellt wurden.

AWS verwaltete Richtlinie: AmazonSageMakerGroundTruthExecution

Diese verwaltete AWS-Richtlinie gewährt Berechtigungen, die üblicherweise für die Verwendung von SageMaker AI Ground Truth benötigt werden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • lambda – Ermöglicht Prinzipalen das Aufrufen von Lambda-Funktionen, deren Namen „sagemaker“ (ohne Berücksichtigung von Groß- und Kleinschreibung), „GTRecipe“ oder „LabelingFunction“ enthalten.

  • s3 – Ermöglicht es Prinzipalen, Objekte aus Amazon-S3-Buckets hinzuzufügen und wieder abzurufen. Diese Objekte sind auf Objekte beschränkt, deren Name ohne Berücksichtigung der Groß- und Kleinschreibung „groundtruth“ oder „sagemaker“ enthält oder die mit „SageMaker“ gekennzeichnet sind.

  • cloudwatch – Ermöglicht Prinzipalen das Posten von CloudWatch-Metriken.

  • logs – Ermöglicht es Prinzipalen, Protokollstreams zu erstellen und auf Protokollereignisse zuzugreifen.

  • sqs – Ermöglicht Prinzipalen das Erstellen von Amazon SQS-Warteschlangen sowie das Senden und Empfangen von Amazon SQS-Nachrichten. Diese Berechtigungen sind auf Warteschlangen beschränkt, deren Name „GroundTruth“ enthält.

  • sns – Ermöglicht Principals, Nachrichten zu Amazon SNS-Themen zu abonnieren und zu veröffentlichen, deren Name ohne Berücksichtigung der Groß- und Kleinschreibung „Groundtruth“ oder „Sagemaker“ enthält.

  • ec2 – Ermöglicht Prinzipalen das Erstellen, Beschreiben und Löschen von Amazon VPC-Endpoints, deren VPC-Endpunkt-Servicename „sagemaker-task-resources“ oder „Beschriftung“ enthält.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomLabelingJobs",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*GtRecipe*",
                "arn:aws:lambda:*:*:function:*LabelingFunction*",
                "arn:aws:lambda:*:*:function:*SageMaker*",
                "arn:aws:lambda:*:*:function:*sagemaker*",
                "arn:aws:lambda:*:*:function:*Sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::*GroundTruth*",
                "arn:aws:s3:::*Groundtruth*",
                "arn:aws:s3:::*groundtruth*",
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatch",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "StreamingQueue",
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:DeleteMessage",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "sqs:ReceiveMessage",
                "sqs:SendMessage",
                "sqs:SetQueueAttributes"
            ],
            "Resource": "arn:aws:sqs:*:*:*GroundTruth*"
        },
        {
            "Sid": "StreamingTopicSubscribe",
            "Effect": "Allow",
            "Action": "sns:Subscribe",
            "Resource": [
                "arn:aws:sns:*:*:*GroundTruth*",
                "arn:aws:sns:*:*:*Groundtruth*",
                "arn:aws:sns:*:*:*groundTruth*",
                "arn:aws:sns:*:*:*groundtruth*",
                "arn:aws:sns:*:*:*SageMaker*",
                "arn:aws:sns:*:*:*Sagemaker*",
                "arn:aws:sns:*:*:*sageMaker*",
                "arn:aws:sns:*:*:*sagemaker*"
            ],
            "Condition": {
                "StringEquals": {
                    "sns:Protocol": "sqs"
                },
                "StringLike": {
                    "sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
                }
            }
        },
        {
            "Sid": "StreamingTopic",
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:*:*:*GroundTruth*",
                "arn:aws:sns:*:*:*Groundtruth*",
                "arn:aws:sns:*:*:*groundTruth*",
                "arn:aws:sns:*:*:*groundtruth*",
                "arn:aws:sns:*:*:*SageMaker*",
                "arn:aws:sns:*:*:*Sagemaker*",
                "arn:aws:sns:*:*:*sageMaker*",
                "arn:aws:sns:*:*:*sagemaker*"
            ]
        },
        {
            "Sid": "StreamingTopicUnsubscribe",
            "Effect": "Allow",
            "Action": [
                "sns:Unsubscribe"
            ],
            "Resource": "*"
        },
        {
            "Sid": "WorkforceVPC",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:DescribeVpcEndpoints",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "*",
            "Condition": {
                "StringLikeIfExists": {
                    "ec2:VpceServiceName": [
                        "*sagemaker-task-resources*",
                        "aws.sagemaker*labeling*"
                    ]
                }
            }
        }
    ]
}

Amazon SageMaker AI aktualisiert die verwalteten Richtlinien von SageMaker Ground Truth

Anzeigen von Details zu Aktualisierungen für verwaltete AWS-Richtlinien für Amazon SageMaker AI Ground Truth, seit dieser Dienst mit der Verfolgung dieser Änderungen begonnen hat.

Richtlinie Version Änderung Datum

AmazonSageMakerGroundTruthExecution – Aktualisierung auf eine bestehende Richtlinie

3

Fügen Sie ec2:CreateVpcEndpoint, ec2:DescribeVpcEndpoints und ec2:DeleteVpcEndpoints Berechtigungen hinzu.

 29. April 2022

AmazonSageMakerGroundTruthExecution – Aktualisierung auf eine bestehende Richtlinie

2

Entfernen von sqs:SendMessageBatch Berechtigung.

 11. April 2022

AmazonSageMakerGroundTruthExecution – Neue Richtlinie

1

Ursprüngliche Politik

 20. Juli 2020