Amazon SageMaker 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SageMaker 的操作、资源和条件键

Amazon SageMaker(服务前缀:sagemaker)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon SageMaker 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddAssociation 授予权限以将一个谱系实体(构件、上下文、操作、实验、实验-试验组件)关联到另一个谱系实体。 写入

action*

artifact*

context*

experiment*

experiment-trial-component*

AddTags 添加或覆盖指定 Amazon SageMaker 资源的一个或多个标签。 标记

action

algorithm

app

app-image-config

artifact

automl-job

code-repository

context

data-quality-job-definition

device

device-fleet

domain

edge-packaging-job

endpoint

endpoint-config

experiment

experiment-trial

experiment-trial-component

feature-group

flow-definition

human-task-ui

hyper-parameter-tuning-job

image

labeling-job

model

model-bias-job-definition

model-explainability-job-definition

model-package

model-package-group

model-quality-job-definition

monitoring-schedule

notebook-instance

pipeline

processing-job

project

training-job

transform-job

user-profile

workteam

aws:RequestTag/${TagKey}

aws:TagKeys

AssociateTrialComponent 将试用组件与试用关联。 写入

experiment-trial*

experiment-trial-component*

BatchGetMetrics [仅权限] 检索与 SageMaker 资源(如训练作业)关联的指标。虽然此 API 目前未公开发布,但管理员可以控制该操作 Read

training-job*

BatchPutMetrics [仅权限] 发布与 SageMaker 资源(如训练作业)关联的指标。虽然此 API 目前未公开发布,但管理员可以控制该操作 写入

training-job*

CreateAction 授予权限以创建操作。 写入

action*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAlgorithm 授予权限以创建算法。 写入

algorithm*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateApp 授予权限以便为 SageMaker Studio UserProfile 创建应用程序 写入

app*

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:ImageArns

sagemaker:ImageVersionArns

CreateAppImageConfig 授予权限以创建 AppImageConfig 写入

app-image-config*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateArtifact 授予权限以创建构件。 写入

artifact*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAutoMLJob 创建 automl 作业。 写入

automl-job*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InterContainerTrafficEncryption

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateCodeRepository 授予权限以创建 CodeRepository。 写入

code-repository*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCompilationJob 创建编译作业。 写入

compilation-job*

iam:PassRole

CreateContext 授予权限以创建上下文。 写入

context*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataQualityJobDefinition 授予权限以创建数据质量作业定义。 写入

data-quality-job-definition*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:InterContainerTrafficEncryption

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateDeviceFleet 授予权限以创建设备队列 写入

device-fleet*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDomain 授予权限以便为 SageMaker Studio 创建域 写入

domain*

iam:CreateServiceLinkedRole

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:AppNetworkAccessType

sagemaker:InstanceTypes

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

sagemaker:DomainSharingOutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:ImageArns

sagemaker:ImageVersionArns

CreateEdgePackagingJob 授予权限以创建边缘打包作业 写入

edge-packaging-job*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateEndpoint 使用在请求中指定的终端节点配置创建终端节点。 写入

endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateEndpointConfig 创建可以使用 Amazon SageMaker 托管服务部署的终端节点配置。 写入

endpoint-config*

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:AcceleratorTypes

sagemaker:InstanceTypes

sagemaker:ModelArn

sagemaker:VolumeKmsKey

CreateExperiment 创建实验。 写入

experiment*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFeatureGroup 创建功能组。 写入

feature-group*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:FeatureGroupOnlineStoreKmsKey

sagemaker:FeatureGroupOfflineStoreKmsKey

sagemaker:FeatureGroupOfflineStoreS3Uri

CreateFlowDefinition 创建用于定义人工工作流程设置的流定义。 写入

flow-definition*

iam:PassRole

sagemaker:WorkteamArn

sagemaker:WorkteamType

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHumanTaskUi 定义将用于人工审查工作流程用户界面的设置。 写入

human-task-ui*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateHyperParameterTuningJob 创建可以使用 Amazon SageMaker 部署的超参数优化作业。 写入

hyper-parameter-tuning-job*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:FileSystemAccessMode

sagemaker:FileSystemDirectoryPath

sagemaker:FileSystemId

sagemaker:FileSystemType

sagemaker:InstanceTypes

sagemaker:InterContainerTrafficEncryption

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateImage 授予权限以创建 SageMaker Image。 写入

image*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateImageVersion 授予权限以创建 SageMaker ImageVersion。 写入

image*

CreateLabelingJob 启动标记作业。标记作业提取未标记的数据并生成标记的数据以作为输出,可用于训练 SageMaker 模型。 写入

labeling-job*

iam:PassRole

sagemaker:WorkteamArn

sagemaker:WorkteamType

sagemaker:VolumeKmsKey

sagemaker:OutputKmsKey

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModel 在 Amazon SageMaker 中创建模型。在请求中,您可以指定模型的名称并描述一个或多个容器。 写入

model*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:NetworkIsolation

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateModelBiasJobDefinition 授予权限以创建模型偏差作业定义。 写入

model-bias-job-definition*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:InterContainerTrafficEncryption

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateModelExplainabilityJobDefinition 授予权限以创建模型可解释性作业定义。 写入

model-explainability-job-definition*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:InterContainerTrafficEncryption

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateModelPackage 授予权限以创建 ModelPackage。 写入

model-package

model-package-group

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelPackageGroup 授予权限以创建 ModelPackageGroup。 写入

model-package-group*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateModelQualityJobDefinition 授予权限以创建模型质量作业定义。 写入

model-quality-job-definition*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:InterContainerTrafficEncryption

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateMonitoringSchedule 授予权限以创建监控计划。 写入

monitoring-schedule*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:InterContainerTrafficEncryption

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateNotebookInstance 创建 Amazon SageMaker 笔记本实例。笔记本实例是在 Jupyter Notebook 上运行的 Amazon EC2 实例。 写入

notebook-instance*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:AcceleratorTypes

sagemaker:DirectInternetAccess

sagemaker:InstanceTypes

sagemaker:RootAccess

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateNotebookInstanceLifecycleConfig 创建可以使用 Amazon SageMaker 部署的笔记本实例生命周期配置。 写入

notebook-instance-lifecycle-config*

CreatePipeline 授予权限以创建管道。 写入

pipeline*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePresignedDomainUrl 授予权限以返回一个 URL,当 AuthMode 为“IAM”时,可以从浏览器中使用此 URL 连接到作为指定 UserProfile 的域。 写入

user-profile*

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

CreatePresignedNotebookInstanceUrl 返回一个您可用来从您的浏览器连接到笔记本实例的 URL。 写入

notebook-instance*

CreateProcessingJob 启动处理作业。处理完成后,Amazon SageMaker 将生成的构件和其他可选输出保存到您指定的 Amazon S3 位置。 写入

processing-job*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

sagemaker:InterContainerTrafficEncryption

CreateProject 授予权限以创建项目。 写入

project*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTrainingJob 启动模型训练作业。训练完成后,Amazon SageMaker 将生成的模型构件和其他可选输出保存到您指定的 Amazon S3 位置。 写入

training-job*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:FileSystemAccessMode

sagemaker:FileSystemDirectoryPath

sagemaker:FileSystemId

sagemaker:FileSystemType

sagemaker:InstanceTypes

sagemaker:InterContainerTrafficEncryption

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

CreateTransformJob 启动转换作业。在获取结果后,Amazon SageMaker 将其保存到您指定的 Amazon S3 位置中。 写入

transform-job*

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:ModelArn

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

CreateTrial 创建试用。 写入

experiment-trial*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTrialComponent 创建试用组件。 写入

experiment-trial-component*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateUserProfile 授予权限以便为 SageMaker Studio 域创建 UserProfile 写入

user-profile*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:VpcSecurityGroupIds

sagemaker:InstanceTypes

sagemaker:DomainSharingOutputKmsKey

sagemaker:ImageArns

sagemaker:ImageVersionArns

CreateWorkforce 创建人力。 写入

workforce*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWorkteam 创建工作团队。 写入

workteam*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAction 授予权限以删除操作。 写入

action*

DeleteAlgorithm 授予权限以删除算法。 写入

algorithm*

DeleteApp 授予权限以删除应用程序 写入

app*

DeleteAppImageConfig 授予权限以删除 AppImageConfig 写入

app-image-config*

DeleteArtifact 授予权限以删除构件。 写入

artifact*

DeleteAssociation 授予权限以删除一个谱系实体(构件、上下文、操作、实验、试验-试验组件)与另一个谱系实体之间的关联。 写入

action*

artifact*

context*

experiment*

experiment-trial-component*

DeleteCodeRepository 授予权限以删除 CodeRepository。 写入

code-repository*

DeleteContext 授予权限以删除上下文。 写入

context*

DeleteDataQualityJobDefinition 授予权限以删除使用 CreateDataQualityJobDefinition API 创建的数据质量作业定义。 写入

data-quality-job-definition*

DeleteDeviceFleet 授予权限以删除设备队列 写入

device-fleet*

DeleteDomain 授予权限以删除域 写入

domain*

DeleteEndpoint 删除终端节点。Amazon SageMaker 释放在创建终端节点时部署的所有资源。 写入

endpoint*

DeleteEndpointConfig 删除使用 CreateEndpointConfig API 创建的终端节点配置。DeleteEndpointConfig API 只删除指定的配置。它不删除使用此配置创建的任何终端节点。 写入

endpoint-config*

DeleteExperiment 删除实验。 写入

experiment*

DeleteFeatureGroup 删除功能组。 写入

feature-group*

aws:RequestTag/${TagKey}

DeleteFlowDefinition 删除指定的流定义。 写入

flow-definition*

DeleteHumanLoop 删除指定的人工循环。 写入

human-loop*

DeleteImage 授予权限以删除 SageMaker Image。 写入

image*

DeleteImageVersion 授予权限以删除 SageMaker ImageVersion。 写入

image-version*

DeleteModel 删除使用 CreateModel API 创建的模型。DeleteModel API 仅删除 Amazon SageMaker 中您通过调用 CreateModel API 创建的模型条目。它不会删除模型构件、推理代码或在创建模型时指定的 IAM 角色。 写入

model*

DeleteModelBiasJobDefinition 授予权限以删除使用 CreateModelBiasJobDefinition API 创建的模型偏差作业定义。 写入

model-bias-job-definition*

DeleteModelExplainabilityJobDefinition 授予权限以删除使用 CreateModelExplainabilityJobDefinition API 创建的模型可解释性作业定义。 写入

model-explainability-job-definition*

DeleteModelPackage 授予权限以删除 ModelPackage。 写入

model-package*

DeleteModelPackageGroup 授予权限以删除 ModelPackageGroup。 写入

model-package-group*

DeleteModelPackageGroupPolicy 授予权限以删除 ModelPackageGroup 策略。 写入

model-package-group*

DeleteModelQualityJobDefinition 授予权限以删除使用 CreateModelQualityJobDefinition API 创建的模型质量作业定义。 写入

model-quality-job-definition*

DeleteMonitoringSchedule 授予权限以删除监控计划。 写入

monitoring-schedule*

DeleteNotebookInstance 删除 Amazon SageMaker 笔记本实例。在可以删除笔记本实例之前,您必须调用 StopNotebookInstance API。 写入

notebook-instance*

DeleteNotebookInstanceLifecycleConfig 删除可以使用 Amazon SageMaker 部署的笔记本实例生命周期配置。 写入

notebook-instance-lifecycle-config*

DeletePipeline 授予权限以删除管道。 写入

pipeline*

DeleteProject 授予权限以删除项目。 写入

project*

DeleteRecord 从功能组中删除记录。 写入

feature-group*

DeleteTags 从 Amazon SageMaker 资源中删除指定的一组标签。 标记

action

algorithm

app

app-image-config

artifact

automl-job

code-repository

compilation-job

context

data-quality-job-definition

device

device-fleet

domain

edge-packaging-job

endpoint

endpoint-config

experiment

experiment-trial

experiment-trial-component

feature-group

flow-definition

human-task-ui

hyper-parameter-tuning-job

image

labeling-job

model

model-bias-job-definition

model-explainability-job-definition

model-package

model-package-group

model-quality-job-definition

monitoring-schedule

notebook-instance

pipeline

processing-job

project

training-job

transform-job

user-profile

workteam

aws:TagKeys

DeleteTrial 删除试用。 写入

experiment-trial*

DeleteTrialComponent 删除试用组件。 写入

experiment-trial-component*

DeleteUserProfile 授予权限以删除 UserProfile 写入

user-profile*

DeleteWorkforce 删除人力。 写入

workforce*

DeleteWorkteam 删除工作团队。 写入

workteam*

DeregisterDevices 授予权限以取消注册一组设备 写入

device*

DescribeAction 授予权限以获取有关操作的信息。 Read

action*

DescribeAlgorithm 授予权限以描述算法。 Read

algorithm*

DescribeApp 授予权限以描述应用程序 Read

app*

DescribeAppImageConfig 授予权限以描述 AppImageConfig Read

app-image-config*

DescribeArtifact 授予权限以获取有关构件的信息。 Read

artifact*

DescribeAutoMLJob 描述通过 CreateAutoMLJob API 创建的 automl 作业。 Read

automl-job*

DescribeCodeRepository 授予权限以描述 CodeRepository。 Read

code-repository*

DescribeCompilationJob 返回有关编译作业的信息。 Read

compilation-job*

DescribeContext 授予权限以获取有关上下文的信息。 Read

context*

DescribeDataQualityJobDefinition 授予权限以返回有关数据质量作业定义的信息。 Read

data-quality-job-definition*

DescribeDevice 授予权限以访问设备相关信息 Read

device*

DescribeDeviceFleet 授予权限以访问设备队列相关信息 Read

device-fleet*

DescribeDomain 授予权限以描述域 Read

domain*

DescribeEdgePackagingJob 授予权限以访问边缘打包作业相关信息 Read

edge-packaging-job*

DescribeEndpoint 返回终端节点的描述。 Read

endpoint*

DescribeEndpointConfig 返回使用 CreateEndpointConfig API 创建的终端节点配置的描述。 Read

endpoint-config*

DescribeExperiment 返回有关实验的信息。 Read

experiment*

DescribeFeatureGroup 返回有关功能组的信息。 Read

feature-group*

DescribeFlowDefinition 返回有关指定的流定义的详细信息。 Read

flow-definition*

DescribeHumanLoop 返回有关指定的人工循环的详细信息。 Read

human-loop*

DescribeHumanTaskUi 返回有关指定的人工审查工作流程用户界面的详细信息。 Read

human-task-ui*

DescribeHyperParameterTuningJob 描述通过 CreateHyperParameterTuningJob API 创建的超参数优化作业。 Read

hyper-parameter-tuning-job*

DescribeImage 授予权限以返回有关 SageMaker Image 的信息。 Read

image*

DescribeImageVersion 授予权限以返回有关 SageMaker ImageVersion 的信息。 Read

image-version*

DescribeLabelingJob 返回有关标记作业的信息。 Read

labeling-job*

DescribeModel 描述您使用 CreateModel API 创建的模型。 Read

model*

DescribeModelBiasJobDefinition 授予权限以返回有关模型偏差作业定义的信息。 Read

model-bias-job-definition*

DescribeModelExplainabilityJobDefinition 授予权限以返回有关模型可解释性作业定义的信息。 Read

model-explainability-job-definition*

DescribeModelPackage 授予权限以描述 ModelPackage。 Read

model-package*

DescribeModelPackageGroup 授予权限以描述 ModelPackageGroup。 Read

model-package-group*

DescribeModelQualityJobDefinition 授予权限以返回有关模型质量作业定义的信息。 Read

model-quality-job-definition*

DescribeMonitoringSchedule 授予权限以返回有关监控计划的信息。 Read

monitoring-schedule*

DescribeNotebookInstance 返回有关笔记本实例的信息。 Read

notebook-instance*

DescribeNotebookInstanceLifecycleConfig 描述通过 CreateNotebookInstanceLifecycleConfig API 创建的笔记本实例生命周期配置。 Read

notebook-instance-lifecycle-config*

DescribePipeline 授予权限以获取有关管道的信息。 Read

pipeline*

DescribePipelineDefinitionForExecution 授予权限以获取管道执行的管道定义。 Read

pipeline-execution*

DescribePipelineExecution 授予权限以获取有关管道执行的信息。 Read

pipeline-execution*

DescribeProcessingJob 返回有关处理作业的信息。 Read

processing-job*

DescribeProject 授予权限以描述项目。 Read

project*

DescribeSubscribedWorkteam 返回有关订阅的工作团队的信息。 Read

workteam*

DescribeTrainingJob 返回有关训练任务的信息。 Read

training-job*

DescribeTransformJob 返回有关转换作业的信息。 Read

transform-job*

DescribeTrial 返回有关试用的信息。 Read

experiment-trial*

DescribeTrialComponent 返回有关试用组件的信息。 Read

experiment-trial-component*

DescribeUserProfile 授予权限以描述 UserProfile Read

user-profile*

DescribeWorkforce 返回有关人力的信息。 Read

workforce*

DescribeWorkteam 返回有关工作团队的信息。 Read

workteam*

DisableSagemakerServicecatalogPortfolio 授予权限以禁用 SageMaker Service Catalog Portfolio。 写入
DisassociateTrialComponent 取消试用组件与试用的关联。 写入

experiment-trial*

experiment-trial-component*

processing-job*

EnableSagemakerServicecatalogPortfolio 授予权限以启用 SageMaker Service Catalog Portfolio。 写入
GetDeviceFleetReport 授予权限以访问设备队列中的设备摘要 Read

device-fleet*

GetDeviceRegistration 授予权限以获取设备注册。将模型部署到边缘设备之后,此 API 用于获取当前设备注册 Read

device*

GetModelPackageGroupPolicy 授予权限以获取 ModelPackageGroup 策略。 Read

model-package-group*

GetRecord 从功能组获取记录。 Read

feature-group*

GetSagemakerServicecatalogPortfolioStatus 授予权限以获取 SageMaker Service Catalog Portfolio。 Read
GetSearchSuggestions 在随关键字提供时,获取搜索建议。 Read
InvokeEndpoint 在使用 Amazon SageMaker 托管服务将模型部署到生产阶段后,您的客户端应用程序使用此 API 从托管在指定终端节点的模型中获得推理。 Read

endpoint*

sagemaker:TargetModel

ListActions 授予权限以列出操作。 List
ListAlgorithms 授予权限以列出算法。 List
ListAppImageConfigs 授予权限以列出账户中的 AppImageConfig List
ListApps 授予权限以列出您账户中的应用程序 List
ListArtifacts 授予权限以列出构件。 List
ListAssociations 授予权限以列出关联。 List
ListAutoMLJobs 列出通过 CreateAutoMLJob 创建的 automl 作业。 List
ListCandidatesForAutoMLJob 列出通过 CreateAutoMLJob 创建的 automl 作业的候选。 List
ListCodeRepositories 授予权限以列出代码存储库。 List
ListCompilationJobs 列出编译作业。 List
ListContexts 授予权限以列出上下文。 List
ListDataQualityJobDefinitions 授予权限以列出数据质量作业定义。 List
ListDeviceFleets 授予权限以列出设备队列 List
ListDevices 授予权限以列出设备。 List
ListDomains 授予权限以列出您账户中的域名 List
ListEdgePackagingJobs 授予权限以列出边缘打包作业 List
ListEndpointConfigs 列出终端节点配置。 List
ListEndpoints 列出终端节点。 List
ListExperiments 列出实验。 List
ListFeatureGroups 列出功能组。 List
ListFlowDefinitions 返回有关流定义的摘要信息(在给定指定参数的情况下)。 List
ListHumanLoops 返回有关人工循环的摘要信息(在给定指定参数的情况下)。 List
ListHumanTaskUis 返回有关人工审查工作流程用户界面的摘要信息(在给定指定参数的情况下)。 List
ListHyperParameterTuningJobs 列出使用 Amazon SageMaker 创建的超参数优化作业。 List
ListImageVersions 授予权限以列出属于 SageMaker Image 的 ImageVersion。 List

image*

ListImages 授予权限以列出账户中 SageMaker Image。 List
ListLabelingJobs 列出标记作业。 List
ListLabelingJobsForWorkteam 列出工作团队的标记作业。 List

workteam*

ListModelBiasJobDefinitions 授予权限以列出模型偏差作业定义。 List
ListModelExplainabilityJobDefinitions 授予权限以列出模型可解释性作业定义。 List
ListModelPackageGroups 授予权限以列出 ModelPackageGroup。 List
ListModelPackages 授予权限以列出 ModelPackage。 List
ListModelQualityJobDefinitions 授予权限以列出模型质量作业定义。 List
ListModels 列出使用 CreateModel API 创建的模型。 List
ListMonitoringExecutions 授予权限以列出监控执行。 List
ListMonitoringSchedules 授予权限以列出监控计划。 List
ListNotebookInstanceLifecycleConfigs 列出可以使用 Amazon SageMaker 部署的笔记本实例生命周期配置。 List
ListNotebookInstances 返回 AWS 区域中请求者账户中的 Amazon SageMaker 笔记本实例的列表。 List
ListPipelineExecutionSteps 授予权限以列出管道执行步骤 List

pipeline-execution*

ListPipelineExecutions 授予权限以列出管道执行 List

pipeline*

ListPipelineParametersForExecution 授予权限以列出管道执行参数 List

pipeline-execution*

ListPipelines 授予权限以列出管道。 List
ListProcessingJobs 列出处理作业。 List
ListProjects 授予权限以列出项目。 List
ListSubscribedWorkteams 列出订阅的工作团队。 List
ListTags 返回与指定资源关联的标签集。 List

action

algorithm

app

app-image-config

artifact

automl-job

code-repository

context

data-quality-job-definition

device

device-fleet

domain

edge-packaging-job

endpoint

endpoint-config

experiment

experiment-trial

experiment-trial-component

feature-group

flow-definition

human-task-ui

hyper-parameter-tuning-job

image

labeling-job

model

model-bias-job-definition

model-explainability-job-definition

model-package

model-package-group

model-quality-job-definition

monitoring-schedule

notebook-instance

pipeline

project

training-job

transform-job

user-profile

workteam

ListTrainingJobs 列出训练作业。 List
ListTrainingJobsForHyperParameterTuningJob 列出使用 Amazon SageMaker 创建的超参数优化作业的训练作业。 List

hyper-parameter-tuning-job*

ListTransformJobs 列出转换作业。 List
ListTrialComponents 列出试用组件。 List
ListTrials 列出试用。 List
ListUserProfiles 授予权限以列出您账户中的 UserProfile List
ListWorkforces 列出人力。 List
ListWorkteams 列出工作团队。 List
PutModelPackageGroupPolicy 授予权限以放置 ModelPackageGroup 策略。 写入

model-package-group*

PutRecord 将记录放置到功能组。 写入

feature-group*

RegisterDevices 授予权限以注册一组设备 写入

device*

aws:RequestTag/${TagKey}

aws:TagKeys

RenderUiTemplate 提供用于人工注释任务的 UI 模板。 Read

iam:PassRole

Search 搜索 SageMaker 对象。 Read
SendHeartbeat 授予权限以从设备发布检测信号数据。将模型部署到边缘设备后,此 API 用于报告设备状态 写入

device*

StartHumanLoop 启动人工循环。 写入

flow-definition*

StartMonitoringSchedule 启动监控计划。 写入

monitoring-schedule*

StartNotebookInstance 使用最新版本的库启动 EC2 实例并附加您的 EBS 卷。 写入

notebook-instance*

StartPipelineExecution 授予权限以启动管道执行。 写入

pipeline*

StopAutoMLJob 停止通过 CreateAutoMLJob 创建的正在运行的 automl 作业。 写入

automl-job*

StopCompilationJob 停止编译作业。 写入

compilation-job*

StopEdgePackagingJob 授予权限以停止边缘打包作业 写入

edge-packaging-job*

StopHumanLoop 停止指定的人工循环。 写入

human-loop*

StopHyperParameterTuningJob 停止通过 CreateHyperParameterTuningJob 创建的正在运行的超参数优化作业。 写入

hyper-parameter-tuning-job*

StopLabelingJob 停止标记作业。将在停止之前导出已生成的任何标签。 写入

labeling-job*

StopMonitoringSchedule 停止监控计划。 写入

monitoring-schedule*

StopNotebookInstance 终止 EC2 实例。在终止实例前,Amazon SageMaker 从此实例断开 EBS 卷。Amazon SageMaker 将保留 EBS 卷。 写入

notebook-instance*

StopPipelineExecution 授予权限以停止管道执行。 写入

pipeline-execution*

StopProcessingJob 停止处理作业。要停止任务,Amazon SageMaker 向算法发送 SIGTERM 信号,这会将作业终止延迟 120 秒。 写入

processing-job*

StopTrainingJob 停止训练任务。要停止任务,Amazon SageMaker 向算法发送 SIGTERM 信号,这会将作业终止延迟 120 秒。 写入

training-job*

StopTransformJob 停止转换作业。在 Amazon SageMaker 收到 StopTransformJob 请求时,作业状态将变为 Stopping。在 Amazon SageMaker 停止作业后,状态将设置为 Stopped 写入

transform-job*

UpdateAction 授予权限以更新操作。 写入

action*

UpdateAppImageConfig 授予权限以更新 AppImageConfig 写入

app-image-config*

UpdateArtifact 授予权限以更新构件。 写入

artifact*

UpdateCodeRepository 授予权限以更新 CodeRepository。 写入

code-repository*

UpdateContext 授予权限以更新上下文。 写入

context*

UpdateDeviceFleet 授予权限以更新设备队列 写入

device-fleet*

UpdateDevices 授予权限以更新一组设备 写入

device*

UpdateDomain 授予权限以更新域 写入

domain*

sagemaker:VpcSecurityGroupIds

sagemaker:InstanceTypes

sagemaker:DomainSharingOutputKmsKey

sagemaker:ImageArns

sagemaker:ImageVersionArns

UpdateEndpoint 更新终端节点以使用在请求中指定的终端节点配置。 写入

endpoint*

UpdateEndpointWeightsAndCapacities 更新变体权重、容量或与终端节点关联的这一个或多个变体。 写入

endpoint*

UpdateExperiment 更新实验。 写入

experiment*

UpdateImage 授予权限以更新 SageMaker Image 属性。 写入

image*

iam:PassRole

UpdateModelPackage 授予权限以更新 ModelPackage。 写入

model-package*

UpdateMonitoringSchedule 更新监控计划。 写入

monitoring-schedule*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

sagemaker:InstanceTypes

sagemaker:MaxRuntimeInSeconds

sagemaker:NetworkIsolation

sagemaker:OutputKmsKey

sagemaker:VolumeKmsKey

sagemaker:VpcSecurityGroupIds

sagemaker:VpcSubnets

sagemaker:InterContainerTrafficEncryption

UpdateNotebookInstance 更新笔记本实例。笔记本实例更新包括升级或降级用于笔记本实例的 EC2 实例以纳入工作负载要求的变化。您也可以更新 VPC 安全组。 写入

notebook-instance*

sagemaker:AcceleratorTypes

sagemaker:InstanceTypes

sagemaker:RootAccess

UpdateNotebookInstanceLifecycleConfig 更新使用 CreateNotebookInstanceLifecycleConfig API 创建的笔记本实例生命周期配置。 写入

notebook-instance-lifecycle-config*

UpdatePipeline 授予权限以更新管道。 写入

pipeline*

iam:PassRole

UpdatePipelineExecution 授予权限以更新管道执行。 写入

pipeline-execution*

UpdateTrainingJob 更新培训作业。 写入

training-job*

sagemaker:InstanceTypes

UpdateTrial 更新试用。 写入

experiment-trial*

UpdateTrialComponent 更新试用组件。 写入

experiment-trial-component*

UpdateUserProfile 授予权限以更新 UserProfile 写入

user-profile*

sagemaker:InstanceTypes

sagemaker:VpcSecurityGroupIds

sagemaker:InstanceTypes

sagemaker:DomainSharingOutputKmsKey

sagemaker:ImageArns

sagemaker:ImageVersionArns

UpdateWorkforce 更新人力。 写入

workforce*

UpdateWorkteam 更新工作团队。 写入

workteam*

Amazon SageMaker 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作都标识了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
device arn:${Partition}:sagemaker:${Region}:${Account}:device-fleet/${DeviceFleetName}/device/${DeviceName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

device-fleet arn:${Partition}:sagemaker:${Region}:${Account}:device-fleet/${DeviceFleetName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

edge-packaging-job arn:${Partition}:sagemaker:${Region}:${Account}:edge-packaging-job/${EdgePackagingJobName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

human-loop arn:${Partition}:sagemaker:${Region}:${Account}:human-loop/${HumanLoopName}
flow-definition arn:${Partition}:sagemaker:${Region}:${Account}:flow-definition/${FlowDefinitionName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

human-task-ui arn:${Partition}:sagemaker:${Region}:${Account}:human-task-ui/${HumanTaskUiName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

labeling-job arn:${Partition}:sagemaker:${Region}:${Account}:labeling-job/${LabelingJobName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

workteam arn:${Partition}:sagemaker:${Region}:${Account}:workteam/${WorkteamName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

workforce arn:${Partition}:sagemaker:${Region}:${Account}:workforce/${WorkforceName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

domain arn:${Partition}:sagemaker:${Region}:${Account}:domain/${DomainId}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

user-profile arn:${Partition}:sagemaker:${Region}:${Account}:user-profile/${DomainId}/${UserProfileName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

app arn:${Partition}:sagemaker:${Region}:${Account}:app/${DomainId}/${UserProfileName}/${AppType}/${AppName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

app-image-config arn:${Partition}:sagemaker:${Region}:${Account}:app-image-config/${AppImageConfigName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

notebook-instance arn:${Partition}:sagemaker:${Region}:${Account}:notebook-instance/${NotebookInstanceName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

notebook-instance-lifecycle-config arn:${Partition}:sagemaker:${Region}:${Account}:notebook-instance-lifecycle-config/${NotebookInstanceLifecycleConfigName}
code-repository arn:${Partition}:sagemaker:${Region}:${Account}:code-repository/${CodeRepositoryName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

image arn:${Partition}:sagemaker:${Region}:${Account}:image/${ImageName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

image-version arn:${Partition}:sagemaker:${Region}:${Account}:image-version/${ImageName}/${Version}
algorithm arn:${Partition}:sagemaker:${Region}:${Account}:algorithm/${AlgorithmName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

training-job arn:${Partition}:sagemaker:${Region}:${Account}:training-job/${TrainingJobName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

processing-job arn:${Partition}:sagemaker:${Region}:${Account}:processing-job/${ProcessingJobName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

hyper-parameter-tuning-job arn:${Partition}:sagemaker:${Region}:${Account}:hyper-parameter-tuning-job/${HyperParameterTuningJobName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

project arn:${Partition}:sagemaker:${Region}:${Account}:project/${ProjectName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

model-package arn:${Partition}:sagemaker:${Region}:${Account}:model-package/${ModelPackageName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

model-package-group arn:${Partition}:sagemaker:${Region}:${Account}:model-package-group/${ModelPackageGroupName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

model arn:${Partition}:sagemaker:${Region}:${Account}:model/${ModelName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

endpoint-config arn:${Partition}:sagemaker:${Region}:${Account}:endpoint-config/${EndpointConfigName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

endpoint arn:${Partition}:sagemaker:${Region}:${Account}:endpoint/${EndpointName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

transform-job arn:${Partition}:sagemaker:${Region}:${Account}:transform-job/${TransformJobName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

compilation-job arn:${Partition}:sagemaker:${Region}:${Account}:compilation-job/${CompilationJobName}
automl-job arn:${Partition}:sagemaker:${Region}:${Account}:automl-job/${AutoMLJobJobName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

monitoring-schedule arn:${Partition}:sagemaker:${Region}:${Account}:monitoring-schedule/${MonitoringScheduleName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

data-quality-job-definition arn:${Partition}:sagemaker:${Region}:${Account}:data-quality-job-definition/${DataQualityJobDefinitionName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

model-quality-job-definition arn:${Partition}:sagemaker:${Region}:${Account}:model-quality-job-definition/${ModelQualityJobDefinitionName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

model-bias-job-definition arn:${Partition}:sagemaker:${Region}:${Account}:model-bias-job-definition/${ModelBiasJobDefinitionName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

model-explainability-job-definition arn:${Partition}:sagemaker:${Region}:${Account}:model-explainability-job-definition/${ModelExplainabilityJobDefinitionName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

experiment arn:${Partition}:sagemaker:${Region}:${Account}:experiment/${ExperimentName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

experiment-trial arn:${Partition}:sagemaker:${Region}:${Account}:experiment-trial/${TrialName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

experiment-trial-component arn:${Partition}:sagemaker:${Region}:${Account}:experiment-trial-component/${TrialComponentName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

feature-group arn:${Partition}:sagemaker:${Region}:${Account}:feature-group/${FeatureGroupName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

pipeline arn:${Partition}:sagemaker:${Region}:${Account}:pipeline/${PipelineName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

pipeline-execution arn:${Partition}:sagemaker:${Region}:${Account}:pipeline/${PipelineName}/execution/${RandomString}
artifact arn:${Partition}:sagemaker:${Region}:${Account}:artifact/${HashOfArtifactSource}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

context arn:${Partition}:sagemaker:${Region}:${Account}:context/${ContextName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

action arn:${Partition}:sagemaker:${Region}:${Account}:action/${ActionName}

aws:ResourceTag/${TagKey}

sagemaker:ResourceTag/${TagKey}

Amazon SageMaker 的条件键

Amazon SageMaker 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 用户向 SageMaker 服务发出的请求中包含的键。 字符串
aws:ResourceTag/${TagKey} 标签键值对。 字符串
aws:SourceIp 按请求者的 IP 地址筛选访问权限 字符串
aws:SourceVpc 按请求者的 VPC 筛选访问权限 字符串
aws:SourceVpce 按请求者的 VPC 终端节点筛选访问权限 字符串
aws:TagKeys 与请求中的资源关联的所有标签键名称的列表。 字符串
sagemaker:AcceleratorTypes 所有与请求中的资源关联的加速器类型的列表。 字符串数组
sagemaker:AppNetworkAccessType 与请求中的资源关联的应用程序网络访问权限类型。 字符串
sagemaker:DirectInternetAccess 与请求中的资源关联的直接 Internet 访问。 字符串
sagemaker:DomainSharingOutputKmsKey 与请求中的资源关联的域共享输出 KMS 密钥。 ARN
sagemaker:FeatureGroupOfflineStoreKmsKey 与请求中的功能组资源关联的离线存储 KMS 密钥。 进行筛选
sagemaker:FeatureGroupOfflineStoreS3Uri 与请求中的功能组资源关联的离线存储 S3 URI。 字符串
sagemaker:FeatureGroupOnlineStoreKmsKey 与请求中的功能组资源关联的在线存储 KMS 密钥。 进行筛选
sagemaker:FileSystemAccessMode 与请求中的资源关联的文件系统访问模式。 字符串
sagemaker:FileSystemDirectoryPath 与请求中的资源关联的文件系统目录路径。 字符串
sagemaker:FileSystemId 与请求中的资源关联的文件系统 ID。 字符串
sagemaker:FileSystemType 与请求中的资源关联的文件系统类型。 字符串
sagemaker:HomeEfsFileSystemKmsKey 此密钥已弃用。其已被 sagemaker:VolumeKmsKey 取代。 进行筛选
sagemaker:ImageArns 按与请求中的资源关联的所有映像 ARN 列表筛选访问权限。 字符串数组
sagemaker:ImageVersionArns 按与请求中的资源关联的所有映像版本 ARN 列表筛选访问权限。 字符串数组
sagemaker:InstanceTypes 与请求中的资源关联的所有实例类型的列表。 字符串数组
sagemaker:InterContainerTrafficEncryption 与请求中的资源关联的容器间流量加密。 Bool
sagemaker:MaxRuntimeInSeconds 与请求中的资源关联的最大运行时间(以秒为单位)。 数值
sagemaker:ModelArn 与请求中的资源关联的模型 arn。 ARN
sagemaker:NetworkIsolation 与请求中的资源关联的网络隔离。 Bool
sagemaker:OutputKmsKey 与请求中的资源关联的输出 kms 密钥。 ARN
sagemaker:ResourceTag/ 附加到资源的标签键值对的前言字符串。 字符串
sagemaker:ResourceTag/${TagKey} 标签键值对。 字符串
sagemaker:RootAccess 与请求中的资源关联的根访问权限。 字符串
sagemaker:TargetModel 与请求中的多模型终端节点关联的目标模型。 字符串
sagemaker:VolumeKmsKey 与请求中的资源关联的卷 kms 密钥。 ARN
sagemaker:VpcSecurityGroupIds 与请求中的资源关联的所有 vpc 安全组 ID 的列表。 字符串数组
sagemaker:VpcSubnets 与请求中的资源关联的所有 vpc 子网的列表。 字符串数组
sagemaker:WorkteamArn 与请求关联的工作组 ARN。 ARN
sagemaker:WorkteamType 与请求关联的工作组类型。这可以是 public-crowd、private-crowd 或 vendor-crowd。 字符串