Policy gestite da AWS per SageMaker Projects e JumpStart
Queste policy gestite da AWS aggiungono le autorizzazioni per utilizzare i modelli di progetto Amazon SageMaker AI e le soluzioni JumpStart integrati. Le policy sono disponibili nel tuo account AWS e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
SageMaker Projects e JumpStart utilizzano il Catalogo dei servizi AWS per allocare le risorse AWS negli account dei clienti. Alcune risorse create devono assumere un ruolo di esecuzione. Ad esempio, se il Catalogo dei servizi AWS crea una pipeline CodePipeline per conto di un cliente per un progetto CI/CD di machine learning di SageMaker AI, la pipeline richiederà un ruolo IAM.
Il ruolo AmazonSageMakerServiceCatalogProductsLaunchRoleAmazonSageMakerServiceCatalogProductsLaunchRole passa un ruolo AmazonSageMakerServiceCatalogProductsUseRole alle risorse di prodotti del Catalogo servizi AWS per cui è stato effettuato il provisioning
Argomenti
Policy gestita da AWS: AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerPartnerServiceCatalogProductsAPIGatewayServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsAPIGatewayServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsCloudFormationServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsFireHoseServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy
Aggiornamenti di Amazon SageMaker AI alle policy gestite da AWS del Catalogo dei servizi AWS
Policy gestita da AWS: AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy
Questa policy del ruolo di servizio viene utilizzata dal servizio AWS Service Catalog per allocare prodotti dal portfolio di Amazon SageMaker AI. La policy concede le autorizzazioni a una serie di servizi AWS correlati tra cui AWS CodePipeline, AWS CodeBuild, AWS CodeCommit, AWS Glue, AWS CloudFormation e altri.
La policy AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy è concepita per essere utilizzata dal ruolo AmazonSageMakerServiceCatalogProductsLaunchRole creato dalla console SageMaker AI. La policy aggiunge all’account di un cliente le autorizzazioni per allocare le risorse AWS per SageMaker Projects e JumpStart utilizzando il Catalogo dei servizi.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
apigateway: consente al ruolo di chiamare gli endpoint Gateway API contrassegnati con il tagsagemaker:launch-source. -
cloudformation: consente a AWS Service Catalog di creare, aggiornare ed eliminare gli stack CloudFormation. Consente inoltre al Catalogo dei servizi di taggare e rimuovere i tag dalle risorse. -
codebuild: consente al ruolo assunto da AWS Service Catalog e passato a CloudFormation di creare, aggiornare ed eliminare i progetti CodeBuild. -
codecommit: consente al ruolo assunto da AWS Service Catalog e passato a CloudFormation di creare, aggiornare ed eliminare i repository CodeCommit. -
codepipeline: consente al ruolo assunto da AWS Service Catalog e passato a CloudFormation di creare, aggiornare ed eliminare le CodePipeline. -
codestarconnections,codestar-connections: consentono inoltre al ruolo di passare le connessioni AWS CodeConnections e AWS CodeStar. -
cognito-idp: consente al ruolo di creare, aggiornare ed eliminare gruppi e pool di utenti. Consente inoltre di assegnare tag alle risorse. -
ecr: consente al ruolo assunto da AWS Service Catalog e passato a CloudFormation di creare ed eliminare i repository Amazon ECR. Consente inoltre di assegnare tag alle risorse. -
events: consente al ruolo assunto da AWS Service Catalog e passato a CloudFormation di creare ed eliminare le regole EventBridge. Utilizzata per legare insieme i vari componenti della pipeline CICD. -
firehose: consente al ruolo di interagire con i flussi Firehose. -
glue: consente al ruolo di interagire con AWS Glue. -
iam: consente al ruolo di passare i ruoli preceduti daAmazonSageMakerServiceCatalog. È necessaria quando i progetti effettuano il provisioning di un prodotto AWS Service Catalog, poiché è necessario passare un ruolo a AWS Service Catalog. -
lambda: consente al ruolo di interagire con AWS Lambda. Consente inoltre di assegnare tag alle risorse. -
logs: consente al ruolo di creare, eliminare e accedere ai flussi di log. -
s3: consente al ruolo assunto da AWS Service Catalog e passato a CloudFormation di accedere ai bucket Amazon S3 in cui è archiviato il codice del modello di progetto. -
sagemaker: consente al ruolo di interagire con vari servizi SageMaker AI. Questa autorizzazione viene eseguita sia in CloudFormation durante il provisioning del modello, sia in CodeBuild durante l'esecuzione della pipeline CICD. Consente inoltre di assegnare tag alle seguenti risorse: endpoint, configurazioni degli endpoint, modelli, pipeline, progetti e pacchetti di modelli. -
states: consente al ruolo di creare, eliminare e aggiornare il servizio Step Functions preceduto dasagemaker.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonSageMakerServiceCatalogAPIGatewayPermission", "Effect": "Allow", "Action": [ "apigateway:GET", "apigateway:POST", "apigateway:PUT", "apigateway:PATCH", "apigateway:DELETE" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/sagemaker:launch-source": "*" } } }, { "Sid": "AmazonSageMakerServiceCatalogAPIGatewayPostPermission", "Effect": "Allow", "Action": [ "apigateway:POST" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": [ "sagemaker:launch-source" ] } } }, { "Sid": "AmazonSageMakerServiceCatalogAPIGatewayPatchPermission", "Effect": "Allow", "Action": [ "apigateway:PATCH" ], "Resource": [ "arn:aws:apigateway:*::/account" ] }, { "Sid": "AmazonSageMakerServiceCatalogCFnMutatePermission", "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:UpdateStack", "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*", "Condition": { "ArnLikeIfExists": { "cloudformation:RoleArn": [ "arn:aws:sts::*:assumed-role/AmazonSageMakerServiceCatalog*" ] } } }, { "Sid": "AmazonSageMakerServiceCatalogCFnTagPermission", "Effect": "Allow", "Action": [ "cloudformation:TagResource", "cloudformation:UntagResource" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*", "Condition" : { "Null": { "aws:ResourceTag/sagemaker:project-name": "false" } } }, { "Sid": "AmazonSageMakerServiceCatalogCFnReadPermission", "Effect": "Allow", "Action": [ "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks" ], "Resource": "arn:aws:cloudformation:*:*:stack/SC-*" }, { "Sid": "AmazonSageMakerServiceCatalogCFnTemplatePermission", "Effect": "Allow", "Action": [ "cloudformation:GetTemplateSummary", "cloudformation:ValidateTemplate" ], "Resource": "*" }, { "Sid": "AmazonSageMakerServiceCatalogCodeBuildPermission", "Effect": "Allow", "Action": [ "codebuild:CreateProject", "codebuild:DeleteProject", "codebuild:UpdateProject" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogCodeCommitPermission", "Effect": "Allow", "Action": [ "codecommit:CreateCommit", "codecommit:CreateRepository", "codecommit:DeleteRepository", "codecommit:GetRepository", "codecommit:TagResource" ], "Resource": [ "arn:aws:codecommit:*:*:sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogCodeCommitListPermission", "Effect": "Allow", "Action": [ "codecommit:ListRepositories" ], "Resource": "*" }, { "Sid": "AmazonSageMakerServiceCatalogCodePipelinePermission", "Effect": "Allow", "Action": [ "codepipeline:CreatePipeline", "codepipeline:DeletePipeline", "codepipeline:GetPipeline", "codepipeline:GetPipelineState", "codepipeline:StartPipelineExecution", "codepipeline:TagResource", "codepipeline:UpdatePipeline" ], "Resource": [ "arn:aws:codepipeline:*:*:sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogCIAMUserPermission", "Effect": "Allow", "Action": [ "cognito-idp:CreateUserPool", "cognito-idp:TagResource" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": [ "sagemaker:launch-source" ] } } }, { "Sid": "AmazonSageMakerServiceCatalogCIAMPermission", "Effect": "Allow", "Action": [ "cognito-idp:CreateGroup", "cognito-idp:CreateUserPoolDomain", "cognito-idp:CreateUserPoolClient", "cognito-idp:DeleteGroup", "cognito-idp:DeleteUserPool", "cognito-idp:DeleteUserPoolClient", "cognito-idp:DeleteUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/sagemaker:launch-source": "*" } } }, { "Sid": "AmazonSageMakerServiceCatalogECRPermission", "Effect": "Allow", "Action": [ "ecr:CreateRepository", "ecr:DeleteRepository", "ecr:TagResource" ], "Resource": [ "arn:aws:ecr:*:*:repository/sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogEventBridgePermission", "Effect": "Allow", "Action": [ "events:DescribeRule", "events:DeleteRule", "events:DisableRule", "events:EnableRule", "events:PutRule", "events:PutTargets", "events:RemoveTargets" ], "Resource": [ "arn:aws:events:*:*:rule/sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogFirehosePermission", "Effect": "Allow", "Action": [ "firehose:CreateDeliveryStream", "firehose:DeleteDeliveryStream", "firehose:DescribeDeliveryStream", "firehose:StartDeliveryStreamEncryption", "firehose:StopDeliveryStreamEncryption", "firehose:UpdateDestination" ], "Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*" }, { "Sid": "AmazonSageMakerServiceCatalogGluePermission", "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:DeleteDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker-*", "arn:aws:glue:*:*:table/sagemaker-*", "arn:aws:glue:*:*:userDefinedFunction/sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogGlueClassiferPermission", "Effect": "Allow", "Action": [ "glue:CreateClassifier", "glue:DeleteClassifier", "glue:DeleteCrawler", "glue:DeleteJob", "glue:DeleteTrigger", "glue:DeleteWorkflow", "glue:StopCrawler" ], "Resource": [ "*" ] }, { "Sid": "AmazonSageMakerServiceCatalogGlueWorkflowPermission", "Effect": "Allow", "Action": [ "glue:CreateWorkflow" ], "Resource": [ "arn:aws:glue:*:*:workflow/sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogGlueJobPermission", "Effect": "Allow", "Action": [ "glue:CreateJob" ], "Resource": [ "arn:aws:glue:*:*:job/sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogGlueCrawlerPermission", "Effect": "Allow", "Action": [ "glue:CreateCrawler", "glue:GetCrawler" ], "Resource": [ "arn:aws:glue:*:*:crawler/sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogGlueTriggerPermission", "Effect": "Allow", "Action": [ "glue:CreateTrigger", "glue:GetTrigger" ], "Resource": [ "arn:aws:glue:*:*:trigger/sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogPassRolePermission", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalog*" ] }, { "Sid": "AmazonSageMakerServiceCatalogLambdaPermission", "Effect": "Allow", "Action": [ "lambda:AddPermission", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction", "lambda:GetFunctionConfiguration", "lambda:InvokeFunction", "lambda:RemovePermission" ], "Resource": [ "arn:aws:lambda:*:*:function:sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogLambdaTagPermission", "Effect": "Allow", "Action": "lambda:TagResource", "Resource": [ "arn:aws:lambda:*:*:function:sagemaker-*" ], "Condition": { "ForAllValues:StringLike": { "aws:TagKeys": [ "sagemaker:*" ] } } }, { "Sid": "AmazonSageMakerServiceCatalogLogGroupPermission", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogGroup", "logs:DeleteLogStream", "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/apigateway/AccessLogs/*", "arn:aws:logs:*:*:log-group::log-stream:*" ] }, { "Sid": "AmazonSageMakerServiceCatalogS3ReadPermission", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Sid": "AmazonSageMakerServiceCatalogS3ReadSagemakerResourcePermission", "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogS3MutatePermission", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:DeleteBucketPolicy", "s3:GetBucketPolicy", "s3:PutBucketAcl", "s3:PutBucketNotification", "s3:PutBucketPolicy", "s3:PutBucketPublicAccessBlock", "s3:PutBucketLogging", "s3:PutEncryptionConfiguration", "s3:PutBucketCORS", "s3:PutBucketTagging", "s3:PutObjectTagging" ], "Resource": "arn:aws:s3:::sagemaker-*" }, { "Sid": "AmazonSageMakerServiceCatalogSageMakerPermission", "Effect": "Allow", "Action": [ "sagemaker:CreateEndpoint", "sagemaker:CreateEndpointConfig", "sagemaker:CreateModel", "sagemaker:CreateWorkteam", "sagemaker:DeleteEndpoint", "sagemaker:DeleteEndpointConfig", "sagemaker:DeleteModel", "sagemaker:DeleteWorkteam", "sagemaker:DescribeModel", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeEndpoint", "sagemaker:DescribeWorkteam", "sagemaker:CreateCodeRepository", "sagemaker:DescribeCodeRepository", "sagemaker:UpdateCodeRepository", "sagemaker:DeleteCodeRepository" ], "Resource": [ "arn:aws:sagemaker:*:*:*" ] }, { "Sid": "AmazonSageMakerServiceCatalogSageMakerTagPermission", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": [ "arn:aws:sagemaker:*:*:endpoint/*", "arn:aws:sagemaker:*:*:endpoint-config/*", "arn:aws:sagemaker:*:*:model/*", "arn:aws:sagemaker:*:*:pipeline/*", "arn:aws:sagemaker:*:*:project/*", "arn:aws:sagemaker:*:*:model-package/*" ], "Condition": { "ForAllValues:StringLike": { "aws:TagKeys": [ "sagemaker:*" ] } } }, { "Sid": "AmazonSageMakerServiceCatalogSageMakerImagePermission", "Effect": "Allow", "Action": [ "sagemaker:CreateImage", "sagemaker:DeleteImage", "sagemaker:DescribeImage", "sagemaker:UpdateImage", "sagemaker:ListTags" ], "Resource": [ "arn:aws:sagemaker:*:*:image/*" ] }, { "Sid": "AmazonSageMakerServiceCatalogStepFunctionPermission", "Effect": "Allow", "Action": [ "states:CreateStateMachine", "states:DeleteStateMachine", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:stateMachine:sagemaker-*" ] }, { "Sid": "AmazonSageMakerServiceCatalogCodeStarPermission", "Effect": "Allow", "Action": "codestar-connections:PassConnection", "Resource": "arn:aws:codestar-connections:*:*:connection/*", "Condition": { "StringEquals": { "codestar-connections:PassedToService": "codepipeline.amazonaws.com" } } }, { "Sid": "AmazonSageMakerServiceCatalogCodeConnectionPermission", "Effect": "Allow", "Action": "codeconnections:PassConnection", "Resource": "arn:aws:codeconnections:*:*:connection/*", "Condition": { "StringEquals": { "codeconnections:PassedToService": "codepipeline.amazonaws.com" } } }, ] }
Policy gestita da AWS: AmazonSageMakerPartnerServiceCatalogProductsAPIGatewayServiceRolePolicy
Questa policy viene utilizzata da Gateway Amazon API all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
lambda: consente di richiamare una funzione creata da un modello di partner. -
sagemaker: consente di richiamare un endpoint creato da un modello di partner.
Policy gestita da AWS: AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy
Questa policy viene utilizzata da AWS CloudFormation all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
iam: consente di passare i ruoliAmazonSageMakerServiceCatalogProductsLambdaRoleeAmazonSageMakerServiceCatalogProductsApiGatewayRole. -
lambda: consente di creare, aggiornare, eliminare e richiamare funzioni AWS Lambda; consente di recuperare, pubblicare ed eliminare versioni di un livello Lambda. -
apigateway: consente di creare, aggiornare ed eliminare le risorse Gateway Amazon API. -
s3: consente di recuperare il filelambda-auth-code/layer.zipda un bucket Amazon Simple Storage Service (Amazon S3).
Policy gestita da AWS: AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy
Questa policy viene utilizzata da AWS Lambda all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
secretsmanager: consente di recuperare i dati dai segreti forniti dal partner per un modello di partner.
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsAPIGatewayServiceRolePolicy
Questa policy viene utilizzata da Gateway Amazon API all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
logs: consente di creare e leggere eventi, flussi e gruppi di log CloudWatch; consente di aggiornare gli eventi e descrivere varie risorse.Queste autorizzazioni sono limitate alle risorse il cui prefisso del gruppo di log inizia con "aws/apigateway/".
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsCloudFormationServiceRolePolicy
Questa policy viene utilizzata da AWS CloudFormation all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
sagemaker: consente l’accesso a varie risorse SageMaker AI, esclusi domini, profili utente, app e definizioni di flusso. -
iam: consente di passare i ruoliAmazonSageMakerServiceCatalogProductsCodeBuildRoleeAmazonSageMakerServiceCatalogProductsExecutionRole.
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy
Questa policy viene utilizzata da AWS CodeBuild all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
sagemaker: consente di accedere a varie risorse SageMaker AI. -
codecommit: consente di caricare gli archivi CodeCommit nelle pipeline CodeBuild, visualizzare lo stato del caricamento e annullare i caricamenti; consente di ottenere informazioni su rami e commit. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-". -
ecr: consente di creare repository di Amazon ECR e immagini di container; consente di caricare livelli di immagini. Queste autorizzazioni sono limitate ai repository il cui nome inizia con "sagemaker-".ecr: consente di leggere tutte le risorse. -
iam: consente di passare i seguenti ruoli:-
Da
AmazonSageMakerServiceCatalogProductsCloudformationRolea AWS CloudFormation. -
Da
AmazonSageMakerServiceCatalogProductsCodeBuildRolea AWS CodeBuild. -
Da
AmazonSageMakerServiceCatalogProductsCodePipelineRolea AWS CodePipeline. -
Da
AmazonSageMakerServiceCatalogProductsEventsRolead Amazon EventBridge. -
AmazonSageMakerServiceCatalogProductsExecutionRolead Amazon SageMaker AI.
-
-
logs: consente di creare e leggere eventi, flussi e gruppi di log CloudWatch; consente di aggiornare gli eventi e descrivere varie risorse.Queste autorizzazioni sono limitate alle risorse il cui prefisso inizia con "aws/codebuild/".
-
s3: consente di creare, leggere ed elencare i bucket Amazon S3. Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-". -
codestarconnections,codestar-connections: utilizza le connessioni AWS CodeConnections e AWS CodeStar.
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy
Questa policy viene utilizzata da AWS CodePipeline all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
cloudformation: crea, legge, elimina e aggiorna gli stack CloudFormation; crea, legge, elimina ed esegue i set di modifiche; imposta la policy dello stack; tagga ed elimina i tag delle risorse. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-". -
s3: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-.
-
iam: consente di passare il ruoloAmazonSageMakerServiceCatalogProductsCloudformationRole. -
codebuild: consente di ottenere informazioni sulla build di CodeBuild e avviare le build. Queste autorizzazioni sono limitate alle risorse di progetto e compilazione il cui nome inizia con "sagemaker-". -
codecommit: consente di caricare gli archivi CodeCommit nelle pipeline CodeBuild, visualizzare lo stato del caricamento e annullare i caricamenti; consente di ottenere informazioni su rami e commit. -
codestarconnections,codestar-connections: utilizza le connessioni AWS CodeConnections e AWS CodeStar.
{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AmazonSageMakerCodePipelineCFnPermission", "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet", "cloudformation:CreateStack", "cloudformation:DescribeChangeSet", "cloudformation:DeleteChangeSet", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:ExecuteChangeSet", "cloudformation:SetStackPolicy", "cloudformation:UpdateStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/sagemaker-*" }, { "Sid" : "AmazonSageMakerCodePipelineCFnTagPermission", "Effect": "Allow", "Action": [ "cloudformation:TagResource", "cloudformation:UntagResource" ], "Resource": "arn:aws:cloudformation:*:*:stack/sagemaker-*" "Condition" : { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "sagemaker:project-name" ] } }, { "Sid" : "AmazonSageMakerCodePipelineS3Permission", "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:GetObject", "s3:GetObjectVersion", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::sagemaker-*" ] }, { "Sid" : "AmazonSageMakerCodePipelinePassRolePermission", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCloudformationRole" ] }, { "Sid" : "AmazonSageMakerCodePipelineCodeBuildPermission", "Effect": "Allow", "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker-*", "arn:aws:codebuild:*:*:build/sagemaker-*" ] }, { "Sid" : "AmazonSageMakerCodePipelineCodeCommitPermission", "Effect": "Allow", "Action": [ "codecommit:CancelUploadArchive", "codecommit:GetBranch", "codecommit:GetCommit", "codecommit:GetUploadArchiveStatus", "codecommit:UploadArchive" ], "Resource": "arn:aws:codecommit:*:*:sagemaker-*" }, { "Sid" : "AmazonSageMakerCodePipelineCodeStarConnectionPermission", "Effect": "Allow", "Action": [ "codestar-connections:UseConnection" ], "Resource": [ "arn:aws:codestar-connections:*:*:connection/*" ], "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/sagemaker": "true" } } }, { "Sid" : "AmazonSageMakerCodePipelineCodeConnectionPermission", "Effect": "Allow", "Action": [ "codeconnections:UseConnection" ], "Resource": [ "arn:aws:codeconnections:*:*:connection/*" ], "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/sagemaker": "true" } } } ] }
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy
Questa policy viene utilizzata da Amazon EventBridge all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
codepipeline: consente di avviare un'esecuzione di CodeBuild. Queste autorizzazioni sono limitate alle pipeline il cui nome inizia con "sagemaker-".
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsFireHoseServiceRolePolicy
Questa policy viene utilizzata da Amazon Data Firehose all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
firehose: invia i record di Firehose. Queste autorizzazioni sono limitate alle risorse il cui nome del flusso di distribuzione inizia con "sagemaker-".
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy
Questa policy viene utilizzata da AWS Glue all’interno dei prodotti del Catalogo dei servizi AWS allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
glue: consente di creare, leggere ed eliminare partizioni, tabelle e versioni di tabelle di AWS Glue. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-". Consente di creare e leggere i database AWS Glue. Queste autorizzazioni sono limitate ai database il cui nome è "default", "global_temp" o inizia con "sagemaker-". Consente di ottenere funzioni definite dall'utente. -
s3: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-".
-
logs: consente di creare, leggere ed eliminare consegne, flussi e gruppi di log CloudWatch Logs e creare una policy delle risorse.Queste autorizzazioni sono limitate alle risorse il cui prefisso inizia con "aws/glue/".
Policy gestita da AWS: AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy
Questa policy viene utilizzata da AWS Lambda all’interno dei prodotti del AWS Service Catalog allocati dal portfolio di Amazon SageMaker AI. La policy deve essere collegata a un ruolo IAM che AmazonSageMakerServiceCatalogProductsLaunchRole
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
sagemaker: consente di accedere a varie risorse SageMaker AI. -
ecr: consente di creare ed eliminare repository di Amazon ECR; consente di creare, leggere ed eliminare immagini di container e caricare livelli di immagini. Queste autorizzazioni sono limitate ai repository il cui nome inizia con "sagemaker-". -
events: consente di creare, leggere ed eliminare regole di Amazon EventBridge e infine creare e rimuovere destinazioni. Queste autorizzazioni sono limitate alle regole il cui nome inizia con "sagemaker-". -
s3: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-".
-
iam: consente di passare il ruoloAmazonSageMakerServiceCatalogProductsExecutionRole. -
logs: consente di creare, leggere ed eliminare consegne, flussi e gruppi di log CloudWatch Logs e creare una policy delle risorse.Queste autorizzazioni sono limitate alle risorse il cui prefisso del nome inizia con "aws/lambda/".
-
codebuild: avvia e ottieni informazioni sulle build AWS CodeBuild.
Aggiornamenti di Amazon SageMaker AI alle policy gestite da AWS del Catalogo dei servizi AWS
Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per Amazon SageMaker AI a partire da quando questo servizio ha iniziato a tenere traccia delle modifiche.
| Policy | Versione | Modifica | Data |
|---|---|---|---|
|
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata |
9 |
Aggiunte le autorizzazioni |
1° luglio 2024 |
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata |
7 |
Esegui il rollback della policy alla versione 7 (v7). Rimuovi le autorizzazioni |
12 giugno 2024 |
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata |
8 |
Aggiunte le autorizzazioni |
11 giugno 2024 |
|
AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy: policy aggiornata |
2 |
Aggiunte le autorizzazioni |
11 giugno 2024 |
|
AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy: policy aggiornata |
2 |
Aggiungi le autorizzazioni |
11 giugno 2024 |
|
AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy: policy aggiornata |
2 |
Aggiunte le autorizzazioni |
11 giugno 2024 |
|
AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy |
1 | Policy iniziale |
1° agosto 2023 |
|
AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy |
1 | Policy iniziale |
1° agosto 2023 |
|
AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy |
1 | Policy iniziale |
1° agosto 2023 |
|
AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy: policy aggiornata |
2 |
Aggiunta l'autorizzazione per |
26 agosto 2022 |
AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata |
7 |
Aggiunta l'autorizzazione per |
2 agosto 2022 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata | 6 |
Aggiunta l'autorizzazione per |
14 luglio 2022 |
AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy |
1 |
Policy iniziale |
4 aprile 2022 |
|
AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy |
1 |
Policy iniziale |
24 marzo 2022 |
|
AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy |
1 |
Policy iniziale |
24 marzo 2022 |
AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy |
1 |
Policy iniziale |
24 marzo 2022 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata | 5 |
Aggiunta l'autorizzazione per |
21 marzo 2022 |
AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy |
1 |
Policy iniziale |
22 febbraio 2022 |
|
AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy |
1 |
Policy iniziale |
22 febbraio 2022 |
|
AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy |
1 |
Policy iniziale |
22 febbraio 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy | 1 |
Policy iniziale |
22 febbraio 2022 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata | 4 |
Aggiunte le autorizzazioni per |
16 febbraio 2022 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata | 3 |
Aggiunte nuove autorizzazioni per Consente di creare, leggere, aggiornare ed eliminare le immagini di SageMaker. |
15 settembre 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy: policy aggiornata | 2 |
Aggiunte le autorizzazioni per Consente di creare, leggere, aggiornare ed eliminare i repository di codice. Consente di passare le connessioni AWS CodeStar a AWS CodePipeline. |
1° luglio 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Policy iniziale |
27 novembre 2020 |
