Políticas administradas por AWS para el registro de modelos - Amazon SageMaker AI
AmazonSageMakerModelRegistryFullAccessActualizaciones de la política de registro de modelos

Políticas administradas por AWS para el registro de modelos

Estas políticas administradas por AWS agregan los permisos necesarios para utilizar el registro de modelos. Las políticas están disponibles en su cuenta de AWS y las utilizan los roles de ejecución creados desde la consola de Amazon SageMaker AI.

Política administrada por AWS: AmazonSageMakerModelRegistryFullAccess

Esta política administrada por AWS concede los permisos necesarios para utilizar todas las características del Registro de modelos dentro de un dominio de Amazon SageMaker AI. Esta política se asocia a un rol de ejecución al configurar los ajustes del registro de modelos para habilitar los permisos del registro de modelos.

Esta política incluye los siguientes permisos.

  • ecr: permite a las entidades principales recuperar información, incluidos metadatos, sobre imágenes de Amazon Elastic Container Registry (Amazon ECR).

  • iam: permite a las entidades principales transferir el rol de ejecución al servicio de Amazon SageMaker AI.

  • resource-groups: permite a las entidades principales crear, enumerar, etiquetar y eliminar Grupos de recursos de AWS.

  • s3: permite a las entidades principales recuperar objetos de los buckets de Amazon Simple Storage Service (Amazon S3) en los que se almacenan las versiones del modelo. Los objetos recuperables se limitan a aquellos cuyo nombre, sin distinción entre mayúsculas y minúsculas, contenga la cadena "sagemaker".

  • sagemaker: permite a las entidades principales catalogar, administrar e implementar modelos mediante el Registro de modelos de SageMaker.

  • kms: permite que solo la entidad principal de SageMaker AI añada una concesión, genere claves de datos, descifre y lea claves de AWS KMS y solo las claves etiquetadas para usar “sagemaker”.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:ListAssociations",
        "sagemaker:ListArtifacts",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackages",
        "sagemaker:Search",
        "sagemaker:GetSearchSuggestions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteTags",
        "sagemaker:UpdateModelPackage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3GetPermission",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3ListPermission",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryECRReadPermission",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchGetImage",
        "ecr:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryTagReadPermission",
      "Effect": "Allow",
      "Action": [
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:GetGroupQuery"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:ListGroupResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:CreateGroup",
        "resource-groups:Tag"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": "sagemaker:collection"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
      "Effect": "Allow",
      "Action": "resource-groups:DeleteGroup",
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker:collection": "true"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:*:*:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker" : "true"
        },
        "StringLike": {
          "kms:ViaService": "sagemaker.*.amazonaws.com"
        }
      }
    }
  ]
}

Actualizaciones de Amazon SageMaker AI de las políticas administradas por el Registro de modelos

Vea los detalles de las actualizaciones de las políticas administradas por AWS para el registro de modelos desde que este servicio comenzó a hacer el seguimiento de estos cambios. Para obtener alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS en la página Historial de revisión de SageMaker AI.

Política Versión Cambio Date

AmazonSageMakerModelRegistryFullAccess: actualización de una política existente

2

Se han añadido los permisos kms:CreateGrant, kms:DescribeKey, kms:GenerateDataKey y kms:Decrypt.

 6 de junio de 2024

AmazonSageMakerModelRegistryFullAccess: política nueva

1

Política inicial

 12 de abril de 2023