Politiques gérées AWS pour SageMaker Pipelines - Amazon SageMaker AI
AmazonSageMakerPipelinesIntegrationsMises à jour des politiques SageMaker Pipel

Politiques gérées AWS pour SageMaker Pipelines

Ces politiques gérées AWS ajoutent les autorisations requises pour utiliser SageMaker Pipelines. Ces politiques sont disponibles dans votre compte AWS et sont utilisées par les rôles d’exécution créés à partir de la console SageMaker AI.

Politique gérée AWS : AmazonSageMakerPipelinesIntegrations

Cette politique gérée AWS accorde les autorisations généralement nécessaires pour utiliser les étapes de rappel et les étapes Lambda dans SageMaker Pipelines. La politique est ajoutée au AmazonSageMaker-ExecutionRole qui est créé lorsque vous intégrez Amazon SageMaker Studio Classic. La politique peut être attachée à n’importe quel rôle utilisé pour la création ou l’exécution d’un pipeline.

Cette politique accorde les autorisations AWS Lambda, Amazon Simple Queue Service (Amazon SQS), Amazon EventBridge et IAM appropriées et nécessaires pour créer des pipelines qui appellent des fonctions Lambda ou incluent des étapes de rappel et qui peuvent être utilisées pour les étapes d'approbation manuelle ou l'exécution de charges de travail personnalisées.

Les autorisations Amazon SQS vous permettent de créer la file d’attente Amazon SQS nécessaire à la réception des messages de rappel et d’envoyer des messages à cette file d’attente.

Les autorisations Lambda vous permettent de créer, de lire, de mettre à jour et de supprimer les fonctions Lambda utilisées dans les étapes du pipeline, ainsi que d'appeler ces fonctions Lambda.

Cette politique accorde les autorisations Amazon EMR nécessaires à l'exécution d'une étape Amazon EMR de pipelines.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • elasticmapreduce : lire, ajouter et annuler des étapes dans un cluster Amazon EMR en cours d’exécution. Lisez, créez et résiliez un nouveau cluster Amazon EMR.

  • events : lisez, créez, mettez à jour et ajoutez des cibles à une règle EventBridge nommée SageMakerPipelineExecutionEMRStepStatusUpdateRule ou SageMakerPipelineExecutionEMRClusterStatusUpdateRule.

  • iam : transférez un rôle IAM au service AWS Lambda, à Amazon EMR et à Amazon EC2.

  • lambda – Créer, lire, mettre à jour, supprimer et appeler des fonctions Lambda. Ces autorisations sont limitées aux fonctions dont le nom inclut « sagemaker ».

  • sqs – Créer une file d'attente Amazon SQS ; envoyer un message Amazon SQS. Ces autorisations sont limitées aux files d’attente dont le nom inclut « sagemaker ».

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:GetFunction",
                "lambda:InvokeFunction",
                "lambda:UpdateFunctionCode"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*sagemaker*",
                "arn:aws:lambda:*:*:function:*sageMaker*",
                "arn:aws:lambda:*:*:function:*SageMaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:CreateQueue",
                "sqs:SendMessage"
            ],
            "Resource": [
                "arn:aws:sqs:*:*:*sagemaker*",
                "arn:aws:sqs:*:*:*sageMaker*",
                "arn:aws:sqs:*:*:*SageMaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "lambda.amazonaws.com",
                        "elasticmapreduce.amazonaws.com",
                        "ec2.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "events:DescribeRule",
                "events:PutRule",
                "events:PutTargets"
            ],
            "Resource": [
                "arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
                "arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticmapreduce:AddJobFlowSteps",
                "elasticmapreduce:CancelSteps",
                "elasticmapreduce:DescribeStep",
                "elasticmapreduce:RunJobFlow",
                "elasticmapreduce:DescribeCluster",
                "elasticmapreduce:TerminateJobFlows",
                "elasticmapreduce:ListSteps"
            ],
            "Resource": [
                "arn:aws:elasticmapreduce:*:*:cluster/*"
            ]
        }
    ]
}

Mises à jour Amazon SageMaker AI des politiques gérées SageMaker AI Pipelines

Découvrez les détails sur les mises à jour des politiques gérées par AWS pour Amazon SageMaker AI depuis que ce service a commencé à suivre ces modifications.

Politique Version Modification Date

AmazonSageMakerPipelinesIntegrations : mise à jour d’une stratégie existante

3

Autorisations ajoutées pour elasticmapreduce:RunJobFlows, elasticmapreduce:TerminateJobFlows, elasticmapreduce:ListSteps et elasticmapreduce:DescribeCluster.

17 février 2023

AmazonSageMakerPipelinesIntegrations : mise à jour d’une stratégie existante

2

Autorisations ajoutées pour lambda:GetFunction, events:DescribeRule, events:PutRule, events:PutTargets, elasticmapreduce:AddJobFlowSteps, elasticmapreduce:CancelSteps et elasticmapreduce:DescribeStep.

 20 avril 2022

AmazonSageMakerPipelinesIntegrations : nouvelle politique

1

Politique initiale

 30 juillet 2021