AmazonSageMakerModelRegistryFullAccess Aggiornamenti delle policy di Model Registry

Policy gestite da AWS per Model Registry

Queste policy gestite da AWS aggiungono le autorizzazioni richieste per utilizzare Model Registry. Le policy sono disponibili nel tuo account AWS e vengono utilizzate dai ruoli di esecuzione creati dalla console di Amazon SageMaker AI.

Argomenti

Policy gestita da AWS: AmazonSageMakerModelRegistryFullAccess
Aggiornamenti di Amazon SageMaker AI alle policy gestite del registro dei modelli

Policy gestita da AWS: AmazonSageMakerModelRegistryFullAccess

Questa policy gestita da AWS concede le autorizzazioni richieste per utilizzare tutte le funzionalità del registro dei modelli all’interno di un dominio Amazon SageMaker AI. Questa policy è collegata a un ruolo di esecuzione durante la configurazione delle impostazioni di Model Registry per abilitare le autorizzazioni di Model Registry.

Questa policy include le seguenti autorizzazioni:

ecr: consente alle entità principali di recuperare le informazioni, inclusi i metadati, sulle immagini Amazon Elastic Container Registry (Amazon ECR).
iam: consente ai principali di passare il ruolo di esecuzione al servizio Amazon SageMaker AI.
resource-groups: consente alle entità principali di creare, elencare, assegnare tag ed eliminare AWS Resource Groups.
s3: consente alle entità principali di recuperare oggetti dai bucket Amazon Simple Storage Service (Amazon S3) in cui sono archiviate le versioni del modello. Gli oggetti recuperabili sono limitati a quelli il cui nome insensibile alle maiuscole e minuscole contiene la stringa "sagemaker".
sagemaker: consente ai principali di catalogare, gestire e implementare i modelli utilizzando SageMaker Model Registry.
kms: consente solo al principale del servizio SageMaker AI di aggiungere una concessione, generare chiavi dati, decrittografare e leggere le chiavi AWS KMS (solo le chiavi taggate con “sagemaker”).

JSON


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:DescribeAction",
        "sagemaker:DescribeInferenceRecommendationsJob",
        "sagemaker:DescribeModelPackage",
        "sagemaker:DescribeModelPackageGroup",
        "sagemaker:DescribePipeline",
        "sagemaker:DescribePipelineExecution",
        "sagemaker:ListAssociations",
        "sagemaker:ListArtifacts",
        "sagemaker:ListModelMetadata",
        "sagemaker:ListModelPackages",
        "sagemaker:Search",
        "sagemaker:GetSearchSuggestions"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
      "Effect": "Allow",
      "Action": [
        "sagemaker:AddTags",
        "sagemaker:CreateModel",
        "sagemaker:CreateModelPackage",
        "sagemaker:CreateModelPackageGroup",
        "sagemaker:CreateEndpoint",
        "sagemaker:CreateEndpointConfig",
        "sagemaker:CreateInferenceRecommendationsJob",
        "sagemaker:DeleteModelPackage",
        "sagemaker:DeleteModelPackageGroup",
        "sagemaker:DeleteTags",
        "sagemaker:UpdateModelPackage"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3GetPermission",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::*SageMaker*",
        "arn:aws:s3:::*Sagemaker*",
        "arn:aws:s3:::*sagemaker*"
      ]
    },
    {
      "Sid": "AmazonSageMakerModelRegistryS3ListPermission",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryECRReadPermission",
      "Effect": "Allow",
      "Action": [
        "ecr:BatchGetImage",
        "ecr:DescribeImages"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::*:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "sagemaker.amazonaws.com"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryTagReadPermission",
      "Effect": "Allow",
      "Action": [
        "tag:GetResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:GetGroupQuery"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:ListGroupResources"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
      "Effect": "Allow",
      "Action": [
        "resource-groups:CreateGroup",
        "resource-groups:Tag"
      ],
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "ForAnyValue:StringEquals": {
          "aws:TagKeys": "sagemaker:collection"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
      "Effect": "Allow",
      "Action": "resource-groups:DeleteGroup",
      "Resource": "arn:aws:resource-groups:*:*:group/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker:collection": "true"
        }
      }
    },
    {
      "Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
      "Effect": "Allow",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey",
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "arn:aws:kms:*:*:key/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/sagemaker" : "true"
        },
        "StringLike": {
          "kms:ViaService": "sagemaker.*.amazonaws.com"
        }
      }
    }
  ]
}

Aggiornamenti di Amazon SageMaker AI alle policy gestite del registro dei modelli

Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per Model Registry da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, abbonati al feed RSS nella pagina della cronologia dei documenti di SageMaker AI.

Policy	Versione	Modifica	Data
AmazonSageMakerModelRegistryFullAccess - Aggiornamento a una policy esistente	2	Aggiungi le autorizzazioni `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` e `kms:Decrypt`.	6 giugno 2024
AmazonSageMakerModelRegistryFullAccess: nuova policy	1	Policy iniziale	12 aprile 2023

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SageMaker AI Model Governance

Notebook SageMaker