AmazonSageMakerModelRegistryFullAccess Modellregistrierungsrichtlinien-Updates

AWS Verwaltete Richtlinien für Model Registry

Diese AWS verwalteten Richtlinien fügen Berechtigungen hinzu, die für die Verwendung von Model Registry erforderlich sind. Die Richtlinien sind in Ihrem AWS-Konto verfügbar und werden von Ausführungsrollen verwendet, die über die Konsole von Amazon SageMaker AI erstellt wurden.

Themen

AWS verwaltete Richtlinie: AmazonSageMakerModelRegistryFullAccess
Aktualisierungen von Amazon SageMaker AI der verwalteten Richtlinien von Model Registry

AWS verwaltete Richtlinie: AmazonSageMakerModelRegistryFullAccess

Diese AWS verwaltete Richtlinie gewährt Berechtigungen, die für die Nutzung aller Model Registry-Funktionen innerhalb einer Domain von Amazon SageMaker AI erforderlich sind. Diese Richtlinie wird einer Ausführungsrolle zugewiesen, wenn Model Registry-Einstellungen konfiguriert werden, um Model Registry-Berechtigungen zu aktivieren.

Diese Richtlinie umfasst die folgenden Berechtigungen.

ecr – Ermöglicht Prinzipalen das Abrufen von Informationen, einschließlich Metadaten, zu Amazon Elastic Container Registry (Amazon ECR)-Images.
iam – ermöglicht es Prinzipalen, die Ausführungsrolle an den Service Amazon SageMaker AI zu übertragen.
resource-groups – Ermöglicht Prinzipalen das Erstellen, Auflisten, Markieren und Löschen AWS -Ressourcengruppen.
s3 – Ermöglicht Prinzipalen das Abrufen von Objekten aus Amazon Simple Storage Service (Amazon S3) -Buckets, in denen Modellversionen gespeichert sind. Abrufbare Objekte sind auf Objekte beschränkt, deren Name die Zeichenfolge "sagemaker" ohne Berücksichtigung der Groß- und Kleinschreibung enthält.
sagemaker – ermöglicht es Prinzipalen, Modelle mithilfe der SageMaker Model Registry zu katalogisieren, zu verwalten und bereitzustellen.
kms— Erlaubt nur dem SageMaker AI-Service Principal, einen Grant hinzuzufügen, Datenschlüssel zu generieren, Schlüssel zu entschlüsseln und zu lesen und nur AWS KMS Schlüssel, die für die Verwendung mit „Sagemaker“ gekennzeichnet sind.

JSON


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:ListAssociations",
        "sagemaker:ListArtifacts",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackages",
        "sagemaker:Search",
        "sagemaker:GetSearchSuggestions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteTags",
        "sagemaker:UpdateModelPackage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3GetPermission",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3ListPermission",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryECRReadPermission",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchGetImage",
        "ecr:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryTagReadPermission",
      "Effect": "Allow",
      "Action": [
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:GetGroupQuery"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:ListGroupResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:CreateGroup",
        "resource-groups:Tag"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": "sagemaker:collection"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
      "Effect": "Allow",
      "Action": "resource-groups:DeleteGroup",
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker:collection": "true"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:*:*:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker" : "true"
        },
        "StringLike": {
          "kms:ViaService": "sagemaker.*.amazonaws.com"
        }
      }
    }
  ]
}

Aktualisierungen von Amazon SageMaker AI der verwalteten Richtlinien von Model Registry

Anzeigen von Details zu Aktualisierungen für AWS verwaltete Richtlinien für Model Registry, seit dieser Dienst mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Dokumentverlaufsseite von SageMaker AI.

Richtlinie	Version	Änderung	Datum
AmazonSageMakerModelRegistryFullAccess – Aktualisierung auf eine bestehende Richtlinie	2	Fügen Sie die Berechtigungen `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` und `kms:Decrypt` hinzu.	6. Juni 2024
AmazonSageMakerModelRegistryFullAccess – neue Richtlinie	1	Ursprüngliche Politik	12. April 2023

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Modell-Governance von SageMaker AI

SageMaker Notebooks