本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的操作、资源和条件密钥 SageMaker
Amazon SageMaker (服务前缀:sagemaker)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。
参考:
Amazon 定义的操作 SageMaker
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
“操作” 表的 “访问级别” 列描述了如何对操作进行分类(列出、读取、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅策略摘要中的访问级别。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AddAssociation | 授予将世系实体(神器、上下文、动作、实验 experiment-trial-component)相互关联的权限 | 写入 | |||
| AddTags | 授予为指定 Amazon SageMaker 资源添加或覆盖一个或多个标签的权限 | 标记 | |||
| AssociateTrialComponent | 授予权限以将试用组件与试用关联 | 写入 | |||
| BatchDeleteClusterNodes | 授予批量删除 SageMaker HyperPod 集群节点的权限 | 写入 |
eks:DescribeCluster |
||
| BatchDescribeModelPackage | 授予描述一个或多个的权限 ModelPackages | 读取 | |||
| BatchGetMetrics | 授予检索与 SageMaker 资源(例如训练作业或试用组件)关联的指标的权限 | 读取 | |||
| BatchGetRecord | 授予从一个或多个功能组获取一批记录的权限 | 读取 | |||
| BatchPutMetrics | 授予发布与 SageMaker 资源(例如 Training Job 或试用组件)关联的指标的权限 | 写入 | |||
| CallPartnerAppApi | 授予合作伙伴应用程序 SDK 访问合作伙伴应用程序以读取或写入数据用例的权限 | 写入 | |||
| CreateAction | 授予权限以创建操作 | Write |
sagemaker:AddTags |
||
| CreateAlgorithm | 授予权限以创建算法 | 写入 |
sagemaker:AddTags |
||
| CreateApp | 授予为 SageMaker UserProfile 或空间创建应用程序的权限 | 写入 |
sagemaker:AddTags |
||
| CreateAppImageConfig | 授予创建 AppImageConfig | 写入 |
sagemaker:AddTags |
||
| CreateArtifact | 授予权限以创建构件 | Write |
sagemaker:AddTags |
||
| CreateAutoMLJob | 授予权限以创建 AutoML 作业 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateAutoMLJobV2 | 授予权限以创建 V2 AutoML 任务 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateCluster | 授予创建 SageMaker HyperPod 集群的权限 | 写入 |
eks:AssociateAccessPolicy eks:CreateAccessEntry eks:DeleteAccessEntry eks:DescribeAccessEntry eks:DescribeCluster iam:CreateServiceLinkedRole iam:PassRole sagemaker:AddTags |
||
| CreateClusterSchedulerConfig | 授予创建集群调度器配置的权限 | 写入 |
eks:AssociateAccessPolicy eks:DescribeCluster eks:ListAssociatedAccessPolicies sagemaker:AddTags sagemaker:DescribeCluster |
||
| CreateCodeRepository | 授予创建 CodeRepository | 写入 |
sagemaker:AddTags |
||
| CreateCompilationJob | 授予权限以创建编译作业 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateComputeQuota | 授予创建计算配额的权限 | 写入 |
eks:AssociateAccessPolicy eks:DescribeCluster eks:ListAssociatedAccessPolicies sagemaker:AddTags sagemaker:DescribeCluster |
||
| CreateContext | 授予权限以创建上下文 | Write |
sagemaker:AddTags |
||
| CreateDataQualityJobDefinition | 授予权限以创建数据质量作业定义 | Write |
iam:PassRole sagemaker:AddTags |
||
| CreateDeviceFleet | 授予创建设备队列的权限 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateDomain | 授予为 SageMaker Studio 创建域名的权限 | 写入 |
iam:CreateServiceLinkedRole iam:PassRole sagemaker:AddTags |
||
|
sagemaker:AppNetworkAccessType |
|||||
| CreateEdgeDeploymentPlan | 授予创建边缘部署计划的权限 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateEdgeDeploymentStage | 授予创建边缘部署阶段的权限 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateEdgePackagingJob | 授予创建边缘打包作业的权限 | Write |
iam:PassRole sagemaker:AddTags |
||
| CreateEndpoint | 授予权限以使用在请求中指定的终端节点配置创建终端节点 | 写入 |
sagemaker:AddTags |
||
| CreateEndpointConfig | 授予创建可使用 Amazon SageMaker 托管服务部署的终端节点配置的权限 | 写入 |
iam:PassRole sagemaker:AddTags |
||
|
sagemaker:ServerlessMaxConcurrency |
|||||
| CreateExperiment | 授予权限以创建实验 | Write |
sagemaker:AddTags |
||
| CreateFeatureGroup | 授予权限以创建功能组 | Write |
iam:PassRole sagemaker:AddTags |
||
|
sagemaker:FeatureGroupOnlineStoreKmsKey sagemaker:FeatureGroupOfflineStoreKmsKey sagemaker:FeatureGroupOfflineStoreS3Uri sagemaker:FeatureGroupEnableOnlineStore |
|||||
| CreateFlowDefinition | 授予权限以创建用于定义人工工作流程设置的流定义 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateHub | 授予权限以创建中心 | 写入 |
sagemaker:AddTags |
||
| CreateHubContentReference | 授予权限以创建中心内容参考 | 写入 |
sagemaker:AddTags |
||
| CreateHumanTaskUi | 授予权限以定义将用于人工审查工作流程用户界面的设置 | 写入 |
sagemaker:AddTags |
||
| CreateHyperParameterTuningJob | 授予创建可使用 Amazon 部署的超参数调整任务的权限 SageMaker | 写入 |
iam:PassRole sagemaker:AddTags |
||
|
sagemaker:FileSystemAccessMode sagemaker:FileSystemDirectoryPath |
|||||
| CreateImage | 授予创建 SageMaker 图像的权限 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateImageVersion | 授予创建 SageMaker ImageVersion | 写入 | |||
| CreateInferenceComponent | 授予在端点上创建推理组件的权限 | 写入 |
sagemaker:AddTags |
||
| CreateInferenceExperiment | 授予权限以创建推理实验 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateInferenceRecommendationsJob | 授予创建推理建议任务的权限 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateLabelingJob | 授予权限以启动标记作业。标注作业接收未标记的数据并生成带标签的数据作为输出,可用于训练模型 SageMaker | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateLineageGroupPolicy | 授予权限以创建谱系组策略 | 写入 | |||
| CreateMlflowTrackingServer | 授予创建 MLflow 跟踪服务器的权限 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateModel | 授予在 Amazon 中创建模型的权限 SageMaker。在请求中,您可以指定模型的名称并描述一个或多个容器 | Write |
iam:PassRole sagemaker:AddTags |
||
| CreateModelBiasJobDefinition | 授予权限以创建模型偏差作业定义 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateModelCard | 授予权限以创建模型卡 | 写入 |
sagemaker:AddTags |
||
| CreateModelCardExportJob | 授予权限以创建模型卡的导出作业 | 写入 | |||
| CreateModelExplainabilityJobDefinition | 授予权限以创建模型可解释性作业定义 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateModelPackage | 授予创建 ModelPackage | 写入 |
sagemaker:AddTags |
||
|
sagemaker:CustomerMetadataProperties/${MetadataKey} |
|||||
| CreateModelPackageGroup | 授予创建 ModelPackageGroup | 写入 |
sagemaker:AddTags |
||
| CreateModelQualityJobDefinition | 授予权限以创建模型质量作业定义 | Write |
iam:PassRole sagemaker:AddTags |
||
| CreateMonitoringSchedule | 授予权限以创建监控计划 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateNotebookInstance | 授予创建 Amazon SageMaker 笔记本实例的权限。笔记本实例是在 Jupyter 笔记本上运行的 Amazon EC2 实例 | 写入 |
iam:PassRole sagemaker:AddTags |
||
|
sagemaker:DirectInternetAccess |
|||||
| CreateNotebookInstanceLifecycleConfig | 授予创建可使用 Amazon 部署的笔记本实例生命周期配置的权限 SageMaker | 写入 | |||
| CreateOptimizationJob | 授予权限以创建优化作业 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreatePartnerApp | 授予创建 Amazon SageMaker 合作伙伴 AI 应用程序的权限 | 写入 |
sagemaker:AddTags |
||
| CreatePartnerAppPresignedUrl | 授予返回 URL 的权限,您可以通过浏览器使用该网址连接亚马逊 SageMaker 合作伙伴 AI 应用程序 | 写入 | |||
| CreatePipeline | 授予权限以创建管道 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreatePresignedDomainUrl | 授予权限以返回 URL,当为 “IAM” UserProfile 时 AuthMode ,您可以通过浏览器使用该网址连接域名 | 写入 | |||
| CreatePresignedMlflowTrackingServerUrl | 授予返回 URL 的权限,您可以通过浏览器使用该网址连接到 MLflow 跟踪服务器 | 写入 | |||
| CreatePresignedNotebookInstanceUrl | 授予权限以创建一个您可用来从您的浏览器连接到笔记本实例的 URL | Write | |||
| CreateProcessingJob | 授予权限以启动处理运行。处理完成后,Amazon SageMaker 会将生成的项目和其他可选输出保存到您指定的 Amazon S3 位置 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateProject | 授予权限以创建项目 | Write |
sagemaker:AddTags |
||
| CreateReservedCapacity [仅权限] | 授予创建预留容量的权限 | 写入 |
sagemaker:AddTags |
||
| CreateSharedModel [仅权限] | 授予在 SageMaker Studio 应用程序中创建共享模型的权限 | 写入 | |||
| CreateSpace | 授予为 SageMaker 域创建空间的权限 | 写入 |
sagemaker:AddTags |
||
| CreateStudioLifecycleConfig | 授予创建可使用 Amazon 部署的 Studio 生命周期配置的权限 SageMaker | 写入 |
sagemaker:AddTags |
||
| CreateTrainingJob | 授予权限以启动模型训练作业。训练完成后,Amazon SageMaker 会将生成的模型构件和其他可选输出保存到您指定的 Amazon S3 位置 | 写入 |
iam:PassRole sagemaker:AddTags |
||
|
sagemaker:FileSystemAccessMode sagemaker:FileSystemDirectoryPath |
|||||
| CreateTrainingPlan | 授予创建训练计划的权限,该计划可分配资源,用于在指定时间范围内调度工作负载 | 写入 |
sagemaker:AddTags sagemaker:CreateReservedCapacity |
||
| CreateTransformJob | 授予权限以启动转换作业。获得结果后,亚马逊 SageMaker 会将其保存到您指定的 Amazon S3 位置 | 写入 |
sagemaker:AddTags |
||
| CreateTrial | 授予权限以创建试用 | Write |
sagemaker:AddTags |
||
| CreateTrialComponent | 授予权限以创建试用组件 | 写入 |
sagemaker:AddTags |
||
| CreateUserProfile | 授予 UserProfile 为 SageMaker 域创建的权限 | 写入 |
iam:PassRole sagemaker:AddTags |
||
| CreateWorkforce | 授予权限以创建人力 | Write |
sagemaker:AddTags |
||
| CreateWorkteam | 授予权限以创建工作组 | Write |
sagemaker:AddTags |
||
| DeleteAction | 授予权限以删除操作 | Write | |||
| DeleteAlgorithm | 授予权限以删除算法 | Write | |||
| DeleteApp | 授予权限以删除应用程序 | 写入 | |||
| DeleteAppImageConfig | 授予删除的权限 AppImageConfig | 写入 | |||
| DeleteArtifact | 授予权限以删除构件 | 写入 | |||
| DeleteAssociation | 授予将关联从世系实体(工件、上下文、动作、实验 experiment-trial-component)删除到另一个血统实体的权限 | 写入 | |||
| DeleteCluster | 授予删除 SageMaker HyperPod 集群的权限 | 写入 |
eks:DeleteAccessEntry |
||
| DeleteClusterSchedulerConfig | 授予删除集群调度器配置的权限 | 写入 | |||
| DeleteCodeRepository | 授予删除权限 CodeRepository | 写入 | |||
| DeleteCompilationJob | 授予删除编译作业的权限 | 写入 | |||
| DeleteComputeQuota | 授予删除计算配额的权限 | 写入 | |||
| DeleteContext | 授予权限以删除上下文 | 写入 | |||
| DeleteDataQualityJobDefinition | 授予删除使用 CreateDataQualityJobDefinition API 创建的数据质量作业定义的权限 | 写入 | |||
| DeleteDeviceFleet | 授予删除设备队列的权限 | Write | |||
| DeleteDomain | 授予权限以删除域 | 写入 | |||
| DeleteEdgeDeploymentPlan | 授予删除边缘部署计划的权限 | 写入 | |||
| DeleteEdgeDeploymentStage | 授予删除边缘部署阶段的权限 | 写入 | |||
| DeleteEndpoint | 授予权限以删除终端节点。Amazon 会 SageMaker 释放创建终端节点时部署的所有资源 | 写入 | |||
| DeleteEndpointConfig | 授予删除使用 CreateEndpointConfig API 创建的终端节点配置的权限。 DeleteEndpointConfig API 仅删除指定的配置。它不删除使用此配置创建的任何终端节点 | Write | |||
| DeleteExperiment | 授予权限以删除实验 | Write | |||
| DeleteFeatureGroup | 授予权限以删除功能组 | Write | |||
| DeleteFlowDefinition | 授予权限以删除指定的流定义 | 写入 | |||
| DeleteHub | 授予权限以删除中心 | 写入 | |||
| DeleteHubContent | 授予权限以删除中心内容 | 写入 | |||
| DeleteHubContentReference | 授予权限以删除中心内容参考 | 写入 | |||
| DeleteHumanLoop | 授予权限以删除指定的人工循环 | Write | |||
| DeleteHumanTaskUi | 授予权限以删除指定的人工任务用户界面(工作人员任务模板) | 写入 | |||
| DeleteHyperParameterTuningJob | 授予权限以删除超参数优化作业 | 写入 | |||
| DeleteImage | 授予删除 SageMaker 图片的权限 | 写入 | |||
| DeleteImageVersion | 授予删除权限 SageMaker ImageVersion | 写入 | |||
| DeleteInferenceComponent | 授予删除推理组件的权限 Amazon SageMaker 释放了创建推理组件时保留的资源 | 写入 | |||
| DeleteInferenceExperiment | 授予权限以删除推理实验 | 写入 | |||
| DeleteLineageGroupPolicy | 授予权限以删除谱系组策略 | 写入 | |||
| DeleteMlflowTrackingServer | 授予删除 MLflow 跟踪服务器的权限 | 写入 | |||
| DeleteModel | 授予删除使用 CreateModel API 创建的模型的权限。 DeleteModel API 仅删除您通过调用 CreateModel API 在 Amazon SageMaker 中创建的模型条目。它不会删除模型构件、推理代码或在创建模型时指定的 IAM 角色 | 写入 | |||
| DeleteModelBiasJobDefinition | 授予删除使用 CreateModelBiasJobDefinition API 创建的模型偏见任务定义的权限 | 写入 | |||
| DeleteModelCard | 授予权限以删除模型卡 | 写入 | |||
| DeleteModelExplainabilityJobDefinition | 授予删除使用 API 创建的模型可解释性任务定义的权限 CreateModelExplainabilityJobDefinition | 写入 | |||
| DeleteModelPackage | 授予删除权限 ModelPackage | 写入 | |||
| DeleteModelPackageGroup | 授予删除权限 ModelPackageGroup | 写入 | |||
| DeleteModelPackageGroupPolicy | 授予删除 ModelPackageGroup 策略的权限 | 写入 | |||
| DeleteModelQualityJobDefinition | 授予删除使用 CreateModelQualityJobDefinition API 创建的模型质量作业定义的权限 | 写入 | |||
| DeleteMonitoringSchedule | 授予权限以删除监控计划 | 写入 | |||
| DeleteNotebookInstance | 授予删除 Amazon SageMaker 笔记本实例的权限。在删除笔记本实例之前,必须调用 StopNotebookInstance API | 写入 | |||
| DeleteNotebookInstanceLifecycleConfig | 授予权限以删除笔记本实例生命周期配置 | 写入 | |||
| DeleteOptimizationJob | 授予权限以删除优化作业 | 写入 | |||
| DeletePartnerApp | 授予删除亚马逊 SageMaker 合作伙伴 AI 应用程序的权限 | 写入 | |||
| DeletePipeline | 授予权限以删除管道 | Write | |||
| DeleteProject | 授予权限以删除项目 | Write | |||
| DeleteRecord | 授予权限以从功能组中删除记录 | 写入 | |||
| DeleteResourcePolicy [仅权限] | 授予 Amazon Resource Access Manager 删除支持跨账户 SageMaker 共享的资源的资源策略的权限 | 写入 | |||
| DeleteSpace | 授予权限以删除 Space | 写入 | |||
| DeleteStudioLifecycleConfig | 授予权限以删除 Studio 生命周期配置 | 写入 | |||
| DeleteTags | 授予从 Amazon SageMaker 资源中删除指定标签集的权限 | 标记 | |||
| DeleteTrial | 授予权限以删除试用 | Write | |||
| DeleteTrialComponent | 授予权限以删除试用组件 | 写入 | |||
| DeleteUserProfile | 授予删除权限 UserProfile | 写入 | |||
| DeleteWorkforce | 授予权限以删除人力 | Write | |||
| DeleteWorkteam | 授予权限以删除工作组 | 写入 | |||
| DeployHubModel | 授予权限以将中心的模型部署到端点 | 写入 | |||
| DeregisterDevices | 授予注销一组设备的权限 | Write | |||
| DescribeAction | 授予权限以获取有关操作的信息 | Read | |||
| DescribeAlgorithm | 授予描述算法的权限 | Read | |||
| DescribeApp | 授予权限以描述应用程序 | 读取 | |||
| DescribeAppImageConfig | 授予描述的权限 AppImageConfig | 读取 | |||
| DescribeArtifact | 授予权限以获取有关构件的信息 | 读取 | |||
| DescribeAutoMLJob | 授予描述通过 API 创建的 AutoML 作业的权限 CreateAuto MLJob | 读取 | |||
| DescribeAutoMLJobV2 | 授予描述通过 V2 API 创建的 AutoML 作业的 CreateAutoMLJob权限 | 读取 | |||
| DescribeCluster | 授予返回有关 SageMaker HyperPod 集群信息的权限 | 读取 | |||
| DescribeClusterNode | 授予返回有关 SageMaker HyperPod 群集节点信息的权限 | 读取 | |||
| DescribeClusterSchedulerConfig | 授予获取有关集群调度器配置信息的权限 | 读取 | |||
| DescribeCodeRepository | 授予描述的权限 CodeRepository | 读取 | |||
| DescribeCompilationJob | 授予权限以返回有关编译作业的信息 | 读取 | |||
| DescribeComputeQuota | 授予获取有关计算配额信息的权限 | 读取 | |||
| DescribeContext | 授予权限以获取有关上下文的信息 | Read | |||
| DescribeDataQualityJobDefinition | 授予权限以返回有关数据质量作业定义的信息 | Read | |||
| DescribeDevice | 授予访问设备相关信息的权限 | Read | |||
| DescribeDeviceFleet | 授予访问设备队列相关信息的权限 | Read | |||
| DescribeDomain | 授予权限以描述域 | 读取 | |||
| DescribeEdgeDeploymentPlan | 授予访问边缘部署计划相关信息的权限 | 读取 | |||
| DescribeEdgePackagingJob | 授予访问边缘打包作业相关信息的权限 | Read | |||
| DescribeEndpoint | 授予权限以返回终端节点的描述 | 读取 | |||
| DescribeEndpointConfig | 授予返回使用 CreateEndpointConfig API 创建的终端节点配置描述的权限 | 读取 | |||
| DescribeExperiment | 授予权限以返回有关实验的信息 | Read | |||
| DescribeFeatureGroup | 授予权限以返回有关功能组的信息 | 读取 | |||
| DescribeFeatureMetadata | 授予返回有关功能元数据的信息的权限 | 读取 | |||
| DescribeFlowDefinition | 授予权限以返回有关指定的流定义的信息 | 读取 | |||
| DescribeHub | 授予权限以描述中心 | 读取 | |||
| DescribeHubContent | 授予权限以描述中心内容 | 读取 | |||
| DescribeHumanLoop | 授予权限以返回有关指定的人工循环的信息 | 读取 | |||
| DescribeHumanTaskUi | 授予权限以返回有关指定的人工审查工作流程用户界面的详细信息 | 读取 | |||
| DescribeHyperParameterTuningJob | 授予描述通过 API 创建的超参数调整任务的 CreateHyperParameterTuningJob 权限 | 读取 | |||
| DescribeImage | 授予返回 SageMaker 图片相关信息的权限 | 读取 | |||
| DescribeImageVersion | 授予返回有关 a 的信息的权限 SageMaker ImageVersion | 读取 | |||
| DescribeInferenceComponent | 授予返回推理组件的描述的权限 | 读取 | |||
| DescribeInferenceExperiment | 授予权限以获取有关推理实验的信息 | 读取 | |||
| DescribeInferenceRecommendationsJob | 授予权限以获取有关推理建议任务的信息 | 读取 | |||
| DescribeLabelingJob | 授予权限以返回有关标记作业的信息 | 读取 | |||
| DescribeLineageGroup | 授予权限以描述谱系组 | 读取 | |||
| DescribeMlflowTrackingServer | 授予获取有关 MLflow 跟踪服务器信息的权限 | 读取 | |||
| DescribeModel | 授予描述您使用 CreateModel API 创建的模型的权限 | 读取 | |||
| DescribeModelBiasJobDefinition | 授予权限以返回有关模型偏差作业定义的信息 | 读取 | |||
| DescribeModelCard | 授予权限以获取有关模型卡的信息 | 读取 | |||
| DescribeModelCardExportJob | 授予权限以获取有关模型卡导出作业的信息 | 读取 | |||
| DescribeModelExplainabilityJobDefinition | 授予权限以返回有关模型可解释性作业定义的信息 | 读取 | |||
| DescribeModelPackage | 授予描述的权限 ModelPackage | 读取 | |||
| DescribeModelPackageGroup | 授予描述的权限 ModelPackageGroup | 读取 | |||
| DescribeModelQualityJobDefinition | 授予权限以返回有关模型质量作业定义的信息 | Read | |||
| DescribeMonitoringSchedule | 授予权限以返回有关监控计划的信息 | Read | |||
| DescribeNotebookInstance | 授予权限以返回有关笔记本实例的信息 | 读取 | |||
| DescribeNotebookInstanceLifecycleConfig | 授予描述通过 CreateNotebookInstanceLifecycleConfig API 创建的笔记本实例生命周期配置的权限 | 读取 | |||
| DescribeOptimizationJob | 授予权限以返回有关优化作业的信息 | 读取 | |||
| DescribePartnerApp | 授予描述亚马逊 SageMaker 合作伙伴 AI 应用程序的权限 | 读取 | |||
| DescribePipeline | 授予权限以获取有关管道的信息 | Read | |||
| DescribePipelineDefinitionForExecution | 授予权限以获取管道执行的管道定义 | Read | |||
| DescribePipelineExecution | 授予权限以获取有关管道执行的信息 | Read | |||
| DescribeProcessingJob | 授予权限以返回有关处理作业的信息 | Read | |||
| DescribeProject | 授予权限以描述项目 | 读取 | |||
| DescribeSharedModel [仅权限] | 授予在 SageMaker Studio 应用程序中描述共享模型的权限 | 读取 | |||
| DescribeSpace | 授予权限以描述 Space | 读取 | |||
| DescribeStudioLifecycleConfig | 授予权限以描述 Studio 生命周期配置 | 读取 | |||
| DescribeSubscribedWorkteam | 授予权限以返回有关订阅的工作组的信息 | Read | |||
| DescribeTrainingJob | 授予权限以返回有关训练作业的信息 | 读取 | |||
| DescribeTrainingPlan | 授予返回有关指定训练计划信息的权限 | 读取 | |||
| DescribeTransformJob | 授予权限以返回有关转换作业的信息 | Read | |||
| DescribeTrial | 授予权限以返回有关试用的信息 | Read | |||
| DescribeTrialComponent | 授予权限以返回有关试用组件的信息 | 读取 | |||
| DescribeUserProfile | 授予描述的权限 UserProfile | 读取 | |||
| DescribeWorkforce | 授予权限以返回有关人力的信息 | Read | |||
| DescribeWorkteam | 授予权限以返回有关工作组的信息 | 读取 | |||
| DisableSagemakerServicecatalogPortfolio | 授予禁用 S SageMaker ervice Catalog 组合的权限 | 写入 | |||
| DisassociateTrialComponent | 授予权限以取消试用组件与试用的关联 | 写入 | |||
| EnableSagemakerServicecatalogPortfolio | 授予启用 S SageMaker ervice Catalog 组合的权限 | 写入 | |||
| GetDeployments | 授予权限以获取设备的部署计划 | 读取 | |||
| GetDeviceFleetReport | 授予访问设备队列中设备摘要的权限 | Read | |||
| GetDeviceRegistration | 授予获取设备注册的权限。将模型部署到边缘设备之后,此 API 用于获取当前设备注册 | 读取 | |||
| GetLineageGroupPolicy | 授予权限以检索谱系组策略 | 读取 | |||
| GetModelPackageGroupPolicy | 授予获取 ModelPackageGroup 策略的权限 | 读取 | |||
| GetRecord | 授予权限以从功能组获取记录 | 读取 | |||
| GetResourcePolicy [仅权限] | 授予 Amazon Resource Access Manager 在支持跨账户共享的 SageMaker 资源上检索资源策略的权限 | 读取 | |||
| GetSagemakerServicecatalogPortfolioStatus | 授予获取 S SageMaker ervice Catalog 组合的权限 | 读取 | |||
| GetScalingConfigurationRecommendation | 授予权限以获取扩展策略配置建议 | 读取 | |||
| GetSearchSuggestions | 授予权限以在随关键字提供时,获取搜索建议 | 读取 | |||
| ImportHubContent | 授予权限以导入中心内容 | 写入 |
sagemaker:AddTags |
||
| InvokeEndpoint | 授予权限以调用终端节点。使用 Amazon SageMaker 托管服务将模型部署到生产环境后,您的客户端应用程序将使用此 API 从托管在指定终端节点上的模型中获取推论 | 读取 | |||
| InvokeEndpointAsync | 授予以异步方式从指定端点的托管模型获取推断的权限 | 读取 | |||
| InvokeEndpointWithResponseStream | 授予从指定端点获取作为流的推理响应的权限 | 读取 | |||
| ListActions | 授予权限以列出操作 | List | |||
| ListAlgorithms | 授予权限以列出算法 | 列表 | |||
| ListAliases | 授予列出属于 SageMaker 图片或 Sagemaker 的别名的权限 ImageVersion | 列表 | |||
| ListAppImageConfigs | 授予 AppImageConfigs 在您的账户中发布商品的权限 | 列表 | |||
| ListApps | 授予权限以列出您账户中的应用程序 | List | |||
| ListArtifacts | 授予权限以列出构件 | List | |||
| ListAssociations | 授予权限以列出关联 | List | |||
| ListAutoMLJobs | 授予权限以列出 AutoML 作业 | List | |||
| ListCandidatesForAutoMLJob | 授予权限以列出 AutoML 作业的候选项 | 列表 | |||
| ListClusterNodes | 授予列出 SageMaker HyperPod 集群内节点的权限 | 列表 | |||
| ListClusterSchedulerConfigs | 授予列出集群调度器配置的权限 | 列表 | |||
| ListClusters | 授予列出 SageMaker HyperPod 集群的权限 | 列表 | |||
| ListCodeRepositories | 授予权限以列出代码存储库 | List | |||
| ListCompilationJobs | 授予权限以列出编译作业 | 列表 | |||
| ListComputeQuotas | 授予列出计算配额的权限 | 列表 | |||
| ListContexts | 授予列出上下文的权限 | 列表 | |||
| ListDataQualityJobDefinitions | 授予权限以列出数据质量作业定义 | List | |||
| ListDeviceFleets | 授予列出设备队列的权限 | List | |||
| ListDevices | 授予权限以列出设备 | List | |||
| ListDomains | 授予权限以列出您账户中的域名 | 列表 | |||
| ListEdgeDeploymentPlans | 授予列出边缘部署计划的权限 | 列表 | |||
| ListEdgePackagingJobs | 授予列出边缘打包作业的权限 | List | |||
| ListEndpointConfigs | 授予权限以列出终端节点配置 | List | |||
| ListEndpoints | 授予列出终端节点的权限 | List | |||
| ListExperiments | 授予权限以列出实验 | List | |||
| ListFeatureGroups | 授予权限以列出功能组 | List | |||
| ListFlowDefinitions | 授予权限以返回有关流定义的摘要信息(在给定指定参数的情况下) | 列表 | |||
| ListHubContentVersions | 授予权限以列出中心内容的所有版本 | 列表 | |||
| ListHubContents | 授予权限以列出中心内容的最新版本 | 列表 | |||
| ListHubs | 授予权限以列出中心 | 列表 | |||
| ListHumanLoops | 授予权限以返回有关人工循环的摘要信息(在给定指定参数的情况下) | List | |||
| ListHumanTaskUis | 授予权限以返回有关人工审查工作流程用户界面的摘要信息(在给定指定参数的情况下) | List | |||
| ListHyperParameterTuningJobs | 授予权限以列出超参数优化作业 | 列表 | |||
| ListImageVersions | 授予发布 ImageVersions 属于某 SageMaker 张图片的商品的权限 | 列表 | |||
| ListImages | 授予在您的账户中发布 SageMaker 图片的权限 | 列表 | |||
| ListInferenceComponents | 授予列出推理组件的权限 | 列表 | |||
| ListInferenceExperiments | 授予权限以列出推理实验 | 列表 | |||
| ListInferenceRecommendationsJobSteps | 授予列出推理建议任务步骤的权限 | 列表 | |||
| ListInferenceRecommendationsJobs | 授予列出推理建议任务的权限 | 列表 | |||
| ListLabelingJobs | 授予权限以列出标记作业 | List | |||
| ListLabelingJobsForWorkteam | 授予权限以列出工作组的标记作业 | 列表 | |||
| ListLineageGroups | 授予列出谱系组的权限 | 列表 | |||
| ListMlflowTrackingServers | 授予列出 MLflow 跟踪服务器的权限 | 列表 | |||
| ListModelBiasJobDefinitions | 授予权限以列出模型偏差作业定义 | 列表 | |||
| ListModelCardExportJobs | 授予权限以列出模型卡的导出作业 | 列表 | |||
| ListModelCardVersions | 授予权限以列出模型卡的版本 | 列表 | |||
| ListModelCards | 授予权限以列出模型卡 | 列表 | |||
| ListModelExplainabilityJobDefinitions | 授予权限以列出模型可解释性作业定义 | 列表 | |||
| ListModelMetadata | 授予权限以列出推理建议任务的模型元数据 | 列表 | |||
| ListModelPackageGroups | 授予上架权限 ModelPackageGroups | 列表 | |||
| ListModelPackages | 授予上架权限 ModelPackages | 列表 | |||
| ListModelQualityJobDefinitions | 授予权限以列出模型质量作业定义 | 列表 | |||
| ListModels | 授予列出使用 CreateModel API 创建的模型的权限 | 列表 | |||
| ListMonitoringAlertHistory | 授予权限以列出监控警报的历史记录 | 列表 | |||
| ListMonitoringAlerts | 授予权限以列出监控警报 | 列表 | |||
| ListMonitoringExecutions | 授予权限以列出监控执行 | List | |||
| ListMonitoringSchedules | 授予权限以列出监控计划 | 列表 | |||
| ListNotebookInstanceLifecycleConfigs | 授予列出可使用 Amazon 部署的笔记本实例生命周期配置的权限 SageMaker | 列表 | |||
| ListNotebookInstances | 授予在请求者账户中列出 Amazon SageMaker 笔记本实例的权限 Amazon Web Services 区域 | 列表 | |||
| ListOptimizationJobs | 授予权限以列出优化作业 | 列表 | |||
| ListPartnerApps | 授予在您的账户中发布亚马逊 SageMaker 合作伙伴 AI 应用程序的权限 | 列表 | |||
| ListPipelineExecutionSteps | 授予列出管道执行步骤的权限 | List | |||
| ListPipelineExecutions | 授予列出管道执行的权限 | List | |||
| ListPipelineParametersForExecution | 授予列出管道执行参数的权限 | List | |||
| ListPipelines | 授予权限以列出管道 | List | |||
| ListProcessingJobs | 授予权限以列出处理作业 | List | |||
| ListProjects | 授予权限以列出项目 | 列表 | |||
| ListResourceCatalogs | 授予权限以列出资源目录 | 列表 | |||
| ListSharedModelEvents [仅权限] | 授予权限以列出共享模型事件 | 列表 | |||
| ListSharedModelVersions [仅权限] | 授予权限以列出共享模型版本 | 列表 | |||
| ListSharedModels [仅权限] | 授予权限以列出共享模型 | 列表 | |||
| ListSpaces | 授予权限以列出账户中的 Space | 列表 | |||
| ListStageDevices | 授予列出阶段设备的权限 | 列表 | |||
| ListStudioLifecycleConfigs | 授予列出可使用 Amazon 部署的 Studio 生命周期配置的权限 SageMaker | 列表 | |||
| ListSubscribedWorkteams | 授予权限以列出订阅的工作组 | List | |||
| ListTags | 授予权限以列出与指定资源关联的标签集 | List | |||
| ListTrainingJobs | 授予权限以列出训练作业 | List | |||
| ListTrainingJobsForHyperParameterTuningJob | 授予权限以列出超参数优化作业的训练作业 | 列表 | |||
| ListTrainingPlans | 授予列出在指定账户中创建的所有训练计划的权限 | 列表 | |||
| ListTransformJobs | 授予权限以列出转换作业 | List | |||
| ListTrialComponents | 授予权限以列出试用组件 | List | |||
| ListTrials | 授予权限以列出试用 | 列表 | |||
| ListUserProfiles | 授予 UserProfiles 在您的账户中发布商品的权限 | 列表 | |||
| ListWorkforces | 授予权限以列出人力 | List | |||
| ListWorkteams | 授予权限以列出工作组 | 列表 | |||
| PutLineageGroupPolicy | 授予权限以放置谱系组策略 | 写入 | |||
| PutModelPackageGroupPolicy | 授予发布 ModelPackageGroup 政策的权限 | 写入 | |||
| PutRecord | 授予权限以将记录放入功能组 | 写入 | |||
| PutResourcePolicy [仅权限] | 授予 Amazon Resource Access Manager 在支持跨账户共享的 SageMaker 资源上创建资源策略的权限 | 写入 | |||
| QueryLineage | 授予探索谱系图的权限 | 列表 | |||
| RegisterDevices | 授予注册一组设备的权限 | Write | |||
| RenderUiTemplate | 提供用于人工注释任务的 UI 模板 | 读取 |
iam:PassRole |
||
| RetryPipelineExecution | 授予权限以重试管道执行 | 写入 | |||
| Search | 授予搜索 SageMaker 对象的权限 | 读取 | |||
| SearchTrainingPlanOfferings | 授予搜索最符合指定容量要求的可用培训计划产品的权限 | 读取 | |||
| SendHeartbeat | 授予从设备发布检测信号数据的权限。将模型部署到边缘设备后,此 API 用于报告设备状态 | Write | |||
| SendPipelineExecutionStepFailure | 授予权限以使待处理的回调步骤失败 | Write | |||
| SendPipelineExecutionStepSuccess | 授予权限以使待处理的回调步骤取得成功 | 写入 | |||
| SendSharedModelEvent [仅权限] | 授予权限以发送共享模型事件 | 写入 | |||
| StartEdgeDeploymentStage | 授予启动边缘部署阶段的权限 | 写入 | |||
| StartHumanLoop | 授予权限以启动人工循环 | 写入 | |||
| StartInferenceExperiment | 授予权限以开始推理实验 | 写入 | |||
| StartMlflowTrackingServer | 授予启动 Lo MLf w 跟踪服务器的权限 | 写入 | |||
| StartMonitoringSchedule | 授予权限以启动监控计划 | Write | |||
| StartNotebookInstance | 授予权限以启动笔记本实例。这将启动包含最新版本库的 EC2 实例,并附加您的 EBS 卷 | 写入 | |||
| StartPipelineExecution | 授予权限以启动管道执行 | Write | |||
| StopAutoMLJob | 授予权限以停止运行的 AutoML 作业 | Write | |||
| StopCompilationJob | 授予权限以停止编译作业 | 写入 | |||
| StopEdgeDeploymentStage | 授予停止边缘部署阶段的权限 | 写入 | |||
| StopEdgePackagingJob | 授予停止边缘打包作业的权限 | Write | |||
| StopHumanLoop | 授予权限以停止指定的人工循环 | 写入 | |||
| StopHyperParameterTuningJob | 授予通过以下方式停止正在运行的超参数调整作业创建的权限 CreateHyperParameterTuningJob | 写入 | |||
| StopInferenceExperiment | 授予权限以停止推理实验 | 写入 | |||
| StopInferenceRecommendationsJob | 授予停止推理建议任务的权限 | 写入 | |||
| StopLabelingJob | 授予权限以停止标记作业。将在停止之前导出已生成的任何标签 | 写入 | |||
| StopMlflowTrackingServer | 授予停止 MLflow 跟踪服务器的权限 | 写入 | |||
| StopMonitoringSchedule | 授予权限以停止监控计划 | Write | |||
| StopNotebookInstance | 授予权限以停止笔记本实例。这会终止实 EC2 例。在终止实例之前,Amazon 会断 SageMaker 开 EBS 卷与它的连接。亚马逊 SageMaker 保留 EBS 交易量 | 写入 | |||
| StopOptimizationJob | 授予权限以停止优化作业 | 写入 | |||
| StopPipelineExecution | 授予权限以停止管道执行 | Write | |||
| StopProcessingJob | 授予权限以停止处理作业。为了停止任务,Amazon SageMaker 向算法发送 SIGTERM 信号,该信号会将任务终止延迟 120 秒 | 写入 | |||
| StopTrainingJob | 授予权限以停止训练作业。为了停止任务,Amazon SageMaker 向算法发送 SIGTERM 信号,该信号会将任务终止延迟 120 秒 | 写入 | |||
| StopTransformJob | 授予权限以停止转换作业。当 Amazon SageMaker 收到 StopTransformJob 请求时,任务的状态会更改为 “正在停止”。Amazon SageMaker 停止任务后,状态将设置为 “已停止” | 写入 | |||
| TrainHubModel | 授予在 Hub 中训练模型的权限 | 写入 | |||
| UpdateAction | 授予权限以更新操作 | 写入 | |||
| UpdateAppImageConfig | 授予更新权限 AppImageConfig | 写入 | |||
| UpdateArtifact | 授予权限以更新构件 | 写入 | |||
| UpdateCluster | 授予更新 SageMaker HyperPod 集群的权限 | 写入 |
eks:AssociateAccessPolicy eks:CreateAccessEntry eks:DeleteAccessEntry eks:DescribeAccessEntry eks:DescribeCluster iam:PassRole sagemaker:BatchDeleteClusterNodes |
||
| UpdateClusterSchedulerConfig | 授予更新集群调度器配置的权限 | 写入 | |||
| UpdateClusterSoftware | 授予更新 SageMaker HyperPod 群集平台软件的权限 | 写入 |
eks:DescribeCluster |
||
| UpdateCodeRepository | 授予更新权限 CodeRepository | 写入 | |||
| UpdateComputeQuota | 授予更新计算配额的权限 | 写入 | |||
| UpdateContext | 授予权限以更新上下文 | Write | |||
| UpdateDeviceFleet | 授予更新设备队列的权限 | Write | |||
| UpdateDevices | 授予更新一组设备的权限 | Write | |||
| UpdateDomain | 授予权限以更新域 | Write | |||
|
sagemaker:DomainSharingOutputKmsKey |
|||||
| UpdateEndpoint | 授予权限以更新终端节点以使用在请求中指定的终端节点配置 | Write | |||
| UpdateEndpointWeightsAndCapacities | 授予权限以更新变体权重、容量或与终端节点关联的这一个或多个变体 | Write | |||
| UpdateExperiment | 授予权限以更新实验 | 写入 | |||
| UpdateFeatureGroup | 授予更新功能组的权限 | 写入 | |||
| UpdateFeatureMetadata | 授予更新功能元数据的权限 | 写入 | |||
| UpdateHub | 授予权限以更新中心 | 写入 | |||
| UpdateHubContent | 授予更新中心内容的权限 | 写入 | |||
| UpdateHubContentReference | 授予更新中心内容参考的权限 | 写入 | |||
| UpdateImage | 授予更新 SageMaker 图像属性的权限 | 写入 |
iam:PassRole |
||
| UpdateImageVersion | 授予更新属性的权限 SageMaker ImageVersion | 写入 | |||
| UpdateInferenceComponent | 授予更新推理组件以使用在请求中指定的规范和配置的权限 | 写入 | |||
| UpdateInferenceComponentRuntimeConfig | 授予更新给定推理组件的运行时配置的权限 | 写入 | |||
| UpdateInferenceExperiment | 授予权限以更新推理实验 | 写入 | |||
| UpdateMlflowTrackingServer | 授予更新 MLflow 跟踪服务器的权限 | 写入 | |||
| UpdateModelCard | 授予权限以更新模型卡 | 写入 | |||
| UpdateModelPackage | 授予更新权限 ModelPackage | 写入 | |||
|
sagemaker:CustomerMetadataProperties/${MetadataKey} sagemaker:CustomerMetadataPropertiesToRemove |
|||||
| UpdateMonitoringAlert | 授予权限以更新监控警报 | 写入 | |||
| UpdateMonitoringSchedule | 授予权限以更新监控计划 | Write |
iam:PassRole |
||
| UpdateNotebookInstance | 授予权限以更新笔记本实例。笔记本实例更新包括升级或降级用于笔记本 EC2 实例的实例,以适应工作负载要求的变化 | 写入 | |||
| UpdateNotebookInstanceLifecycleConfig | 授予更新使用 CreateNotebookInstanceLifecycleConfig API 创建的笔记本实例生命周期配置的权限 | 写入 | |||
| UpdatePartnerApp | 授予更新 Amazon SageMaker 合作伙伴 AI 应用程序的权限 | 写入 | |||
| UpdatePipeline | 授予权限以更新管道 | Write |
iam:PassRole |
||
| UpdatePipelineExecution | 授予权限以更新管道执行 | 写入 | |||
| UpdateProject | 授予权限以更新项目 | 写入 | |||
| UpdateSharedModel [仅权限] | 授予权限以更新共享模型 | 写入 | |||
| UpdateSpace | 授予权限以更新 Space | 写入 | |||
| UpdateTrainingJob | 授予权限以更新训练作业 | Write | |||
| UpdateTrial | 授予权限以更新试用 | Write | |||
| UpdateTrialComponent | 授予权限以更新试用组件 | 写入 | |||
| UpdateUserProfile | 授予更新权限 UserProfile | 写入 | |||
| UpdateWorkforce | 授予权限以更新人力 | Write | |||
| UpdateWorkteam | 授予权限以更新工作组 | 写入 |
Amazon 定义的资源类型 SageMaker
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| device |
arn:${Partition}:sagemaker:${Region}:${Account}:device-fleet/${DeviceFleetName}/device/${DeviceName}
|
|
| device-fleet |
arn:${Partition}:sagemaker:${Region}:${Account}:device-fleet/${DeviceFleetName}
|
|
| edge-packaging-job |
arn:${Partition}:sagemaker:${Region}:${Account}:edge-packaging-job/${EdgePackagingJobName}
|
|
| edge-deployment-plan |
arn:${Partition}:sagemaker:${Region}:${Account}:edge-deployment/${EdgeDeploymentPlanName}
|
|
| human-loop |
arn:${Partition}:sagemaker:${Region}:${Account}:human-loop/${HumanLoopName}
|
|
| flow-definition |
arn:${Partition}:sagemaker:${Region}:${Account}:flow-definition/${FlowDefinitionName}
|
|
| human-task-ui |
arn:${Partition}:sagemaker:${Region}:${Account}:human-task-ui/${HumanTaskUiName}
|
|
| hub |
arn:${Partition}:sagemaker:${Region}:${Account}:hub/${HubName}
|
|
| hub-content |
arn:${Partition}:sagemaker:${Region}:${Account}:hub-content/${HubName}/${HubContentType}/${HubContentName}
|
|
| inference-recommendations-job |
arn:${Partition}:sagemaker:${Region}:${Account}:inference-recommendations-job/${InferenceRecommendationsJobName}
|
|
| inference-experiment |
arn:${Partition}:sagemaker:${Region}:${Account}:inference-experiment/${InferenceExperimentName}
|
|
| labeling-job |
arn:${Partition}:sagemaker:${Region}:${Account}:labeling-job/${LabelingJobName}
|
|
| workteam |
arn:${Partition}:sagemaker:${Region}:${Account}:workteam/${WorkteamName}
|
|
| workforce |
arn:${Partition}:sagemaker:${Region}:${Account}:workforce/${WorkforceName}
|
|
| domain |
arn:${Partition}:sagemaker:${Region}:${Account}:domain/${DomainId}
|
|
| user-profile |
arn:${Partition}:sagemaker:${Region}:${Account}:user-profile/${DomainId}/${UserProfileName}
|
|
| space |
arn:${Partition}:sagemaker:${Region}:${Account}:space/${DomainId}/${SpaceName}
|
|
| app |
arn:${Partition}:sagemaker:${Region}:${Account}:app/${DomainId}/${UserProfileName}/${AppType}/${AppName}
|
|
| app-image-config |
arn:${Partition}:sagemaker:${Region}:${Account}:app-image-config/${AppImageConfigName}
|
|
| studio-lifecycle-config |
arn:${Partition}:sagemaker:${Region}:${Account}:studio-lifecycle-config/${StudioLifecycleConfigName}
|
|
| notebook-instance |
arn:${Partition}:sagemaker:${Region}:${Account}:notebook-instance/${NotebookInstanceName}
|
|
| notebook-instance-lifecycle-config |
arn:${Partition}:sagemaker:${Region}:${Account}:notebook-instance-lifecycle-config/${NotebookInstanceLifecycleConfigName}
|
|
| code-repository |
arn:${Partition}:sagemaker:${Region}:${Account}:code-repository/${CodeRepositoryName}
|
|
| image |
arn:${Partition}:sagemaker:${Region}:${Account}:image/${ImageName}
|
|
| image-version |
arn:${Partition}:sagemaker:${Region}:${Account}:image-version/${ImageName}/${Version}
|
|
| algorithm |
arn:${Partition}:sagemaker:${Region}:${Account}:algorithm/${AlgorithmName}
|
|
| cluster |
arn:${Partition}:sagemaker:${Region}:${Account}:cluster/${ClusterId}
|
|
| training-job |
arn:${Partition}:sagemaker:${Region}:${Account}:training-job/${TrainingJobName}
|
|
| processing-job |
arn:${Partition}:sagemaker:${Region}:${Account}:processing-job/${ProcessingJobName}
|
|
| hyper-parameter-tuning-job |
arn:${Partition}:sagemaker:${Region}:${Account}:hyper-parameter-tuning-job/${HyperParameterTuningJobName}
|
|
| training-plan |
arn:${Partition}:sagemaker:${Region}:${Account}:training-plan/${TrainingPlanName}
|
|
| reserved-capacity |
arn:${Partition}:sagemaker:${Region}:${Account}:reserved-capacity/${RandomString}
|
|
| project |
arn:${Partition}:sagemaker:${Region}:${Account}:project/${ProjectName}
|
|
| model-package |
arn:${Partition}:sagemaker:${Region}:${Account}:model-package/${ModelPackageName}
|
|
| model-package-group |
arn:${Partition}:sagemaker:${Region}:${Account}:model-package-group/${ModelPackageGroupName}
|
|
| model |
arn:${Partition}:sagemaker:${Region}:${Account}:model/${ModelName}
|
|
| endpoint-config |
arn:${Partition}:sagemaker:${Region}:${Account}:endpoint-config/${EndpointConfigName}
|
|
| endpoint |
arn:${Partition}:sagemaker:${Region}:${Account}:endpoint/${EndpointName}
|
|
| inference-component |
arn:${Partition}:sagemaker:${Region}:${Account}:inference-component/${InferenceComponentName}
|
|
| transform-job |
arn:${Partition}:sagemaker:${Region}:${Account}:transform-job/${TransformJobName}
|
|
| compilation-job |
arn:${Partition}:sagemaker:${Region}:${Account}:compilation-job/${CompilationJobName}
|
|
| optimization-job |
arn:${Partition}:sagemaker:${Region}:${Account}:optimization-job/${OptimizationJobName}
|
|
| automl-job |
arn:${Partition}:sagemaker:${Region}:${Account}:automl-job/${AutoMLJobJobName}
|
|
| monitoring-schedule |
arn:${Partition}:sagemaker:${Region}:${Account}:monitoring-schedule/${MonitoringScheduleName}
|
|
| monitoring-schedule-alert |
arn:${Partition}:sagemaker:${Region}:${Account}:monitoring-schedule/${MonitoringScheduleName}/alert/${MonitoringScheduleAlertName}
|
|
| data-quality-job-definition |
arn:${Partition}:sagemaker:${Region}:${Account}:data-quality-job-definition/${DataQualityJobDefinitionName}
|
|
| model-quality-job-definition |
arn:${Partition}:sagemaker:${Region}:${Account}:model-quality-job-definition/${ModelQualityJobDefinitionName}
|
|
| model-bias-job-definition |
arn:${Partition}:sagemaker:${Region}:${Account}:model-bias-job-definition/${ModelBiasJobDefinitionName}
|
|
| model-explainability-job-definition |
arn:${Partition}:sagemaker:${Region}:${Account}:model-explainability-job-definition/${ModelExplainabilityJobDefinitionName}
|
|
| experiment |
arn:${Partition}:sagemaker:${Region}:${Account}:experiment/${ExperimentName}
|
|
| experiment-trial |
arn:${Partition}:sagemaker:${Region}:${Account}:experiment-trial/${TrialName}
|
|
| experiment-trial-component |
arn:${Partition}:sagemaker:${Region}:${Account}:experiment-trial-component/${TrialComponentName}
|
|
| feature-group |
arn:${Partition}:sagemaker:${Region}:${Account}:feature-group/${FeatureGroupName}
|
|
| pipeline |
arn:${Partition}:sagemaker:${Region}:${Account}:pipeline/${PipelineName}
|
|
| pipeline-execution |
arn:${Partition}:sagemaker:${Region}:${Account}:pipeline/${PipelineName}/execution/${RandomString}
|
|
| artifact |
arn:${Partition}:sagemaker:${Region}:${Account}:artifact/${HashOfArtifactSource}
|
|
| context |
arn:${Partition}:sagemaker:${Region}:${Account}:context/${ContextName}
|
|
| action |
arn:${Partition}:sagemaker:${Region}:${Account}:action/${ActionName}
|
|
| lineage-group |
arn:${Partition}:sagemaker:${Region}:${Account}:lineage-group/${LineageGroupName}
|
|
| model-card |
arn:${Partition}:sagemaker:${Region}:${Account}:model-card/${ModelCardName}
|
|
| model-card-export-job |
arn:${Partition}:sagemaker:${Region}:${Account}:model-card/${ModelCardName}/export-job/${ExportJobName}
|
|
| shared-model |
arn:${Partition}:sagemaker:${Region}:${Account}:shared-model/${SharedModelId}
|
|
| shared-model-event |
arn:${Partition}:sagemaker:${Region}:${Account}:shared-model-event/${EventId}
|
|
| sagemaker-catalog |
arn:${Partition}:sagemaker:${Region}:${Account}:sagemaker-catalog/${ResourceCatalogName}
|
|
| mlflow-tracking-server |
arn:${Partition}:sagemaker:${Region}:${Account}:mlflow-tracking-server/${MlflowTrackingServerName}
|
|
| compute-quota |
arn:${Partition}:sagemaker:${Region}:${Account}:compute-quota/${ComputeQuotaId}
|
|
| cluster-scheduler-config |
arn:${Partition}:sagemaker:${Region}:${Account}:cluster-scheduler-config/${ClusterSchedulerConfigId}
|
|
| partner-app |
arn:${Partition}:sagemaker:${Region}:${Account}:partner-app/${AppId}
|
Amazon 的条件密钥 SageMaker
Amazon SageMaker 定义了以下条件键,这些条件键可用于 IAM 策略的Condition元素。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件密钥,请参阅Amazon 全局条件上下文密钥。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按用户向 SageMaker 服务发出的请求中存在的密钥筛选访问权限 | 字符串 |
| aws:ResourceTag/${TagKey} | 按标签键值对筛选访问 | 字符串 |
| aws:TagKeys | 按与请求中的资源关联的所有标签键名称的列表筛选访问 | ArrayOfString |
| sagemaker:AcceleratorTypes | 按所有与请求中的资源关联的加速器类型的列表筛选访问 | ArrayOfString |
| sagemaker:AppNetworkAccessType | 按与请求中的资源关联的应用程序网络访问权限类型筛选访问 | 字符串 |
| sagemaker:CustomerMetadataProperties/${MetadataKey} | 按元数据键和值对筛选访问 | 字符串 |
| sagemaker:CustomerMetadataPropertiesToRemove | 按与请求中的 model-package 资源关联的元数据属性列表筛选访问 | ArrayOfString |
| sagemaker:DirectGatedModelAccess | 用于拒绝对 SageMaker 门控的直接访问 ModelReferences | 字符串 |
| sagemaker:DirectInternetAccess | 按与请求中的资源关联的直接 Internet 访问筛选访问 | 字符串 |
| sagemaker:DomainId | 您可以使用 domainID 作为策略变量来筛选来自特定域的请求 SageMaker | 字符串 |
| sagemaker:DomainSharingOutputKmsKey | 按与请求中的资源关联的域共享输出 KMS 密钥筛选访问 | ARN |
| sagemaker:EnableRemoteDebug | 按请求中的远程调试配置筛选访问权限 | 布尔型 |
| sagemaker:FeatureGroupDisableGlueTableCreation | 通过与请求中的功能组资源关联的 DisableGlueTableCreation 标志筛选访问权限 | 布尔型 |
| sagemaker:FeatureGroupEnableOnlineStore | 按请求中与功能组关联的 EnableOnlineStore 标志筛选访问权限 | 布尔型 |
| sagemaker:FeatureGroupOfflineStoreConfig | 根据请求 OfflineStoreConfig 中是否存在功能组资源来筛选访问权限。此访问筛选条件仅支持空条件运算符 | 布尔型 |
| sagemaker:FeatureGroupOfflineStoreKmsKey | 按与请求中的功能组资源关联的离线存储 KMS 密钥筛选访问 | ARN |
| sagemaker:FeatureGroupOfflineStoreS3Uri | 按与请求中的功能组资源关联的离线存储 S3 URI 筛选访问 | 字符串 |
| sagemaker:FeatureGroupOnlineStoreKmsKey | 按与请求中的功能组资源关联的在线存储 KMS 密钥筛选访问 | ARN |
| sagemaker:FileSystemAccessMode | 按与请求中的资源关联的文件系统访问模式筛选访问 | 字符串 |
| sagemaker:FileSystemDirectoryPath | 按与请求中的资源关联的文件系统目录路径筛选访问 | 字符串 |
| sagemaker:FileSystemId | 按与请求中的资源关联的文件系统 ID 筛选访问 | 字符串 |
| sagemaker:FileSystemType | 按与请求中的资源关联的文件系统类型筛选访问 | 字符串 |
| sagemaker:HomeEfsFileSystemKmsKey | 按用户向 SageMaker 服务发出的请求中存在的密钥筛选访问权限。此密钥已弃用。它已被 sagemaker 所取代:VolumeKmsKey | ARN |
| sagemaker:ImageArns | 按与请求中的资源关联的所有映像 ARN 列表筛选访问 | ArrayOfARN |
| sagemaker:ImageVersionArns | 按与请求中的资源关联的所有映像版本 ARN 列表筛选访问 | ArrayOfARN |
| sagemaker:InstanceTypes | 按所有与请求中的资源关联的实例类型的列表筛选访问 | ArrayOfString |
| sagemaker:InterContainerTrafficEncryption | 按与请求中的资源关联的容器间流量加密筛选访问 | 布尔型 |
| sagemaker:KeepAlivePeriod | 按与请求中的资源关联的保持活动期间筛选访问 | 数值 |
| sagemaker:MaxRuntimeInSeconds | 按与请求中的资源关联的最大运行时间(以秒为单位)筛选访问 | 数值 |
| sagemaker:MinimumInstanceMetadataServiceVersion | 按请求中的资源使用的最低实例元数据服务版本筛选访问 | 字符串 |
| sagemaker:ModelApprovalStatus | 按请求中的 model-package 的模型批准状态筛选访问权限 | 字符串 |
| sagemaker:ModelArn | 按与请求中的资源关联的模型 ARN 筛选访问 | ARN |
| sagemaker:ModelLifeCycle:Stage | 按模型生命周期对象中的阶段字段筛选访问权限,该对象与请求中的模型包资源相关联 | 字符串 |
| sagemaker:ModelLifeCycle:StageStatus | 按模型生命周期对象中的 StageStatus 字段筛选访问权限,该对象与请求中的模型包资源相关联 | 字符串 |
| sagemaker:NetworkIsolation | 按与请求中的资源关联的网络隔离筛选访问 | Bool |
| sagemaker:OutputKmsKey | 按与请求中的资源关联的输出 KMS 密钥筛选访问 | ARN |
| sagemaker:OwnerUserProfileArn | 按与请求中的空间关联的 OwnerUserProfile arn 筛选访问权限 | ARN |
| sagemaker:ResourceTag/ | 按附加到资源的标签键值对的前言字符串筛选访问 | 字符串 |
| sagemaker:ResourceTag/${TagKey} | 按标签键值对筛选访问 | 字符串 |
| sagemaker:RootAccess | 按与请求中的资源关联的根访问筛选访问 | 字符串 |
| sagemaker:SearchVisibilityCondition/${FilterKey} | 将搜索请求的结果限制在您可以访问的资源范围内。 $ {FilterKey} 是 VisibilityConditions 配置在搜索请求中显示的密钥 | 字符串 |
| sagemaker:ServerlessMaxConcurrency | 通过限制请求中用于无服务器推理的最大并发数量来筛选访问 | 数值 |
| sagemaker:ServerlessMemorySize | 通过限制请求中用于无服务器推理的内存大小来筛选访问 | 数值 |
| sagemaker:SpaceSharingType | 按请求中的空间所关联的共享类型筛选访问权限 | 字符串 |
| sagemaker:TaggingAction | 按用户可以应用标签的 API 操作筛选访问权限。使用创建可标记资源的 API 操作的名称来筛选访问权限 | 字符串 |
| sagemaker:TargetModel | 按与请求中的多模型终端节点关联的目标模型筛选访问 | 字符串 |
| sagemaker:UserProfileName | 您可以使用 a UserProfileName s policy 变量来筛选来自 SageMaker 域内特定用户配置文件的请求。此上下文密钥不适用于共享空间内的用户配置文件 | 字符串 |
| sagemaker:VolumeKmsKey | 按与请求中的资源关联的卷 KMS 密钥筛选访问 | ARN |
| sagemaker:VpcSecurityGroupIds | 按与请求中的资源关联的所有 VPC 安全组 ID 的列表筛选访问 | ArrayOfString |
| sagemaker:VpcSubnets | 按与请求中的资源关联的所有 VPC 子网的列表筛选访问 | ArrayOfString |
| sagemaker:WorkteamArn | 按与请求关联的工作组 ARN 筛选访问 | ARN |
| sagemaker:WorkteamType | 按与请求关联的工作组类型筛选访问 这可以是 public-crowd、private-crowd 或 vendor-crowd | 字符串 |