Políticas administradas por AWS para cuadernos de SageMaker
Estas políticas administradas por AWS agregan los permisos necesarios para usar los cuadernos de SageMaker. Las políticas están disponibles en su cuenta de AWS y las utilizan los roles de ejecución creados desde la consola de SageMaker AI.
Temas
Política administrada por AWS: AmazonSageMakerNotebooksServiceRolePolicy
Esta política administrada por AWS concede los permisos que normalmente se necesitan para utilizar los cuadernos de Amazon SageMaker. La política se añade al AWSServiceRoleForAmazonSageMakerNotebooks que se crea al incorporarse a Amazon SageMaker Studio Classic. Para obtener más información sobre los roles vinculados a servicios, consulte Roles vinculados a servicios. Para obtener más información, consulte AmazonSageMakerNotebooksServiceRolePolicy.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
elasticfilesystem: permite a las entidades principales crear y eliminar sistemas de archivos, puntos de acceso y destinos de montaje de Amazon Elastic File System (EFS). Se limitan a las etiquetadas con la clave administrada por Amazon ManagedByAmazonSageMakerResource. Permite a las entidades principales describir todos los sistemas de archivos, puntos de acceso y destinos de montaje de EFS. Permite a las entidades principales crear o sobrescribir etiquetas para los puntos de acceso de EFS y objetivos de montaje. -
ec2: permite a las entidades principales crear interfaces de red y grupos de seguridad para instancias de Amazon Elastic Compute Cloud (EC2). También permite a las entidades principales crear y sobrescribir etiquetas para estos recursos. -
sso: permite a las entidades principales agregar y eliminar instancias de aplicaciones administradas a AWS IAM Identity Center. -
sagemaker: permite a las entidades principales crear y leer perfiles de usuario y espacios de SageMaker AI, y eliminar espacios y aplicaciones de SageMaker AI. -
fsx: permite a las entidades principales describir el sistema de archivos de Amazon FSx para Lustre y utilizar los metadatos para montarlo en un cuaderno.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFSxDescribe", "Effect": "Allow", "Action": [ "fsx:DescribeFileSystems", ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "AllowSageMakerDeleteApp", "Effect": "Allow", "Action": [ "sagemaker:DeleteApp" ], "Resource": "arn:aws:sagemaker:*:*:app/*" }, { "Sid": "AllowEFSAccessPointCreation", "Effect": "Allow", "Action": "elasticfilesystem:CreateAccessPoint", "Resource": "arn:aws:elasticfilesystem:*:*:file-system/*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*", "aws:RequestTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSAccessPointDeletion", "Effect": "Allow", "Action": [ "elasticfilesystem:DeleteAccessPoint" ], "Resource": "arn:aws:elasticfilesystem:*:*:access-point/*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSCreation", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSMountWithDeletion", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateMountTarget", "elasticfilesystem:DeleteFileSystem", "elasticfilesystem:DeleteMountTarget" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEFSDescribe", "Effect": "Allow", "Action": [ "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" }, { "Sid": "AllowEFSTagging", "Effect": "Allow", "Action": "elasticfilesystem:TagResource", "Resource": [ "arn:aws:elasticfilesystem:*:*:access-point/*", "arn:aws:elasticfilesystem:*:*:file-system/*" ], "Condition": { "StringLike": { "aws:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowEC2Tagging", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Sid": "AllowEC2Operations", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" }, { "Sid": "AllowEC2AuthZ", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DeleteSecurityGroup", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*" } } }, { "Sid": "AllowIdcOperations", "Effect": "Allow", "Action": [ "sso:CreateManagedApplicationInstance", "sso:DeleteManagedApplicationInstance", "sso:GetManagedApplicationInstance" ], "Resource": "*" }, { "Sid": "AllowSagemakerProfileCreation", "Effect": "Allow", "Action": [ "sagemaker:CreateUserProfile", "sagemaker:DescribeUserProfile" ], "Resource": "*" }, { "Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces", "Effect": "Allow", "Action": [ "sagemaker:CreateSpace", "sagemaker:DescribeSpace", "sagemaker:DeleteSpace", "sagemaker:ListTags" ], "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*" }, { "Sid": "AllowSagemakerAddTagsForAppManagedSpaces", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*", "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateSpace" } } } ] }
Actualizaciones de Amazon SageMaker AI de las políticas administradas por los cuadernos de SageMaker AI
Vea los detalles sobre las actualizaciones de las políticas administradas por AWS para Amazon SageMaker AI desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Política | Versión | Cambio | Date |
|---|---|---|---|
|
AmazonSageMakerNotebooksServiceRolePolicy: actualización de una política existente |
10 |
Se agregó el permiso |
14 de noviembre de 2024 |
|
AmazonSageMakerNotebooksServiceRolePolicy: actualización de una política existente |
9 |
Se agregó el permiso |
24 de julio de 2024 |
AmazonSageMakerNotebooksServiceRolePolicy: actualización de una política existente |
8 |
Se agregaron los permisos |
22 de mayo de 2024 |
AmazonSageMakerNotebooksServiceRolePolicy: actualización de una política existente |
7 |
Se agregó el permiso |
9 de marzo de 2023 |
AmazonSageMakerNotebooksServiceRolePolicy: actualización de una política existente |
6 |
Se agregaron los permisos |
12 de enero de 2023 |
|
SageMaker AI comenzó el seguimiento de los cambios de sus políticas administradas por AWS. |
1 de junio de 2021 |
