Bewährte Methoden für Richtlinien Verwenden der Konsole Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer Steuerung der Erstellung von SageMaker-AI-Ressourcen mit Bedingungsschlüsseln Steuerung des Zugriffs auf SageMaker-AI-API mithilfe von identitätsbasierten Richtlinien Beschränken des Zugriffs auf SageMaker-AI-API- und Laufzeitaufrufe nach IP-Adresse Einschränken des Zugriffs auf eine Notebook-Instance nach IP-Adresse Steuerung des Zugriffs auf SageMaker-AI-Ressourcen mithilfe von Tags Bereitstellen von Berechtigungen für das Markieren von SageMaker-AI-Ressourcen Beschränken Sie den Zugriff auf durchsuchbare Ressourcen mit Sichtbarkeitsbedingungen

Beispiele für identitätsbasierte Richtlinien für Amazon SageMaker AI

Standardmäßig haben IAM-Benutzer und -Rollen nicht die Berechtigung, SageMaker-AI-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben ausführen, die die AWS-Managementkonsole-, – AWS CLIoder AWS-API benutzen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen. Informationen zum anfügen von Richtlinien an einen Benutzer oder eine Gruppe in finden Sie unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im .

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von Richtlinien auf der JSON-Registerkarte.

Themen

Bewährte Methoden für Richtlinien
Verwenden der SageMaker-AI-Konsole
Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
Steuerung der Erstellung von SageMaker-AI-Ressourcen mit Bedingungsschlüsseln
Steuerung des Zugriffs auf SageMaker-AI-API mithilfe von identitätsbasierten Richtlinien
Beschränken des Zugriffs auf SageMaker-AI-API- und Laufzeitaufrufe nach IP-Adresse
Einschränken des Zugriffs auf eine Notebook-Instance nach IP-Adresse
Steuerung des Zugriffs auf SageMaker-AI-Ressourcen mithilfe von Tags
Bereitstellen von Berechtigungen für das Markieren von SageMaker-AI-Ressourcen
Beschränken Sie den Zugriff auf durchsuchbare Ressourcen mit Sichtbarkeitsbedingungen

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien bestimmen, ob jemand SageMaker-AI-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

Erste Schritte mit AWS-verwaltete Richtlinien und Umstellung auf Berechtigungen mit den geringsten Berechtigungen – Um Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie die AWS-verwaltete Richtlinien die Berechtigungen für viele allgemeine Anwendungsfälle gewähren. Sie sind in Ihrem AWS-Konto verfügbar. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete AWS-Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS-verwaltete Richtlinien oder AWS-verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Service-Aktionen zu gewähren, wenn diese durch ein bestimmtes AWS-Service, wie beispielsweise CloudFormation, verwendet werden. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
Bedarf einer Multi-Faktor-Authentifizierung (MFA) – Wenn Sie ein Szenario haben, das IAM-Benutzer oder Root-Benutzer in Ihrem AWS-Konto erfordert, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Verwenden der SageMaker-AI-Konsole

Um auf die Konsole von Amazon SageMaker AI zugreifen zu können, müssen Sie über ein Mindestmaß an Berechtigungen verfügen. Diese Berechtigungen müssen Ihnen erlauben, Details über die SageMaker-AI-Ressourcen in Ihrem AWS-Konto aufzulisten und anzuzeigen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver als die mindestens erforderlichen Berechtigungen ist, funktioniert die Konsole für Entitäten mit dieser Richtlinie nicht ordnungsgemäß. Dazu gehören Benutzer oder Rollen mit dieser Richtlinie.

Um sicherzustellen, dass diese Entitäten weiterhin die SageMaker-AI-Konsole verwenden können, fügen Sie auch die folgende verwaltete AWS-Richtlinie zu den Entitäten hinzu. Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer in der Serviceautorisierungsreferenz:

Für Benutzer, die nur Aufrufe an die AWS CLI oder AWS-API durchführen, müssen Sie keine Mindestberechtigungen in der Konsole erteilen. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.

Themen

Für die Verwendung der Konsole von Amazon SageMaker AI erforderliche Berechtigungen
Erforderliche Berechtigungen für die Verwendung der Konsole von Amazon SageMaker Ground Truth
Erforderliche Berechtigungen für die Verwendung der Konsole von Amazon Augmented AI (Preview)

Für die Verwendung der Konsole von Amazon SageMaker AI erforderliche Berechtigungen

Die Berechtigungsreferenztabelle listet die API-Vorgänge von Amazon SageMaker AI auf und zeigt die erforderlichen Berechtigungen für jeden Vorgang. Weitere Informationen zu API-Vorgängen von Amazon SageMaker AI finden Sie unter API-Berechtigungen von Amazon SageMaker AI: Aktionen, Berechtigungen und Ressourcenreferenz.

Um die Konsole von Amazon SageMaker AI zu verwenden, müssen Sie Berechtigungen für zusätzliche Aktionen vergeben. Die Konsole benötigt insbesondere Berechtigungen, mit denen ec2-Aktionen Subnetze, VPCs und Sicherheitsgruppen anzeigen können. Optional benötigt die Konsole die Berechtigung zum Erstellen von Ausführungsrollen für Aufgaben wie CreateNotebook, CreateTrainingJob und CreateModel. Gewähren Sie diese Berechtigungen mit der folgenden Berechtigungsrichtlinie:

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
          "Sid": "SageMakerApis",
          "Effect": "Allow",
          "Action": [
            "sagemaker:*"
          ],
          "Resource": "*"
        },
        {
          "Sid": "VpcConfigurationForCreateForms",
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"
          ],
          "Resource": "*"
        },
        {
            "Sid":"KmsKeysForCreateForms",
            "Effect":"Allow",
            "Action":[
              "kms:DescribeKey",
              "kms:ListAliases"
            ],
            "Resource":"*"
        },
        {
          "Sid": "AccessAwsMarketplaceSubscriptions",
          "Effect": "Allow",
          "Action": [
            "aws-marketplace:ViewSubscriptions"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "codecommit:BatchGetRepositories",
            "codecommit:CreateRepository",
            "codecommit:GetRepository",
            "codecommit:ListRepositories",
            "codecommit:ListBranches",
            "secretsmanager:CreateSecret",
            "secretsmanager:DescribeSecret",
            "secretsmanager:ListSecrets"
          ],
          "Resource": "*"
        },
        {
          "Sid":"ListAndCreateExecutionRoles",
          "Effect":"Allow",
          "Action":[
            "iam:ListRoles",
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
          ],
          "Resource":"*"
        },
        {
          "Sid": "DescribeECRMetaData",
          "Effect": "Allow",
          "Action": [
              "ecr:Describe*"
          ],
          "Resource": "*"
        },
        {
          "Sid": "PassRoleForExecutionRoles",
          "Effect": "Allow",
          "Action": [
            "iam:PassRole"
          ],
          "Resource": "*",
          "Condition": {
            "StringEquals": {
                "iam:PassedToService": "sagemaker.amazonaws.com"
            }
          }
        }
    ]
}

Erforderliche Berechtigungen für die Verwendung der Konsole von Amazon SageMaker Ground Truth

Um die Amazon SageMaker Ground Truth-Konsole zu nutzen, müssen Sie Berechtigungen für zusätzliche Ressourcen vergeben. Insbesondere benötigt die Konsole Berechtigungen für:

der AWS Marketplace, um Abonnements anzusehen,
Amazon Cognito Operations zur Verwaltung Ihrer privaten Belegschaft
Amazon S3 S3-Aktionen für den Zugriff auf Ihre Eingabe- und Ausgabedateien
AWS LambdaAktionen zum Auflisten und Aufrufen von Funktionen

Gewähren Sie diese Berechtigungen mit der folgenden Berechtigungsrichtlinie:

Erforderliche Berechtigungen für die Verwendung der Konsole von Amazon Augmented AI (Preview)

Um die Augmented AI-Konsole nutzen zu können, müssen Sie Berechtigungen für zusätzliche Ressourcen erteilen. Gewähren Sie diese Berechtigungen mit der folgenden Berechtigungsrichtlinie:

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:*Algorithm",
                "sagemaker:*Algorithms",
                "sagemaker:*App",
                "sagemaker:*Apps",
                "sagemaker:*AutoMLJob",
                "sagemaker:*AutoMLJobs",
                "sagemaker:*CodeRepositories",
                "sagemaker:*CodeRepository",
                "sagemaker:*CompilationJob",
                "sagemaker:*CompilationJobs",
                "sagemaker:*Endpoint",
                "sagemaker:*EndpointConfig",
                "sagemaker:*EndpointConfigs",
                "sagemaker:*EndpointWeightsAndCapacities",
                "sagemaker:*Endpoints",
                "sagemaker:*Experiment",
                "sagemaker:*Experiments",
                "sagemaker:*FlowDefinitions",
                "sagemaker:*HumanLoop",
                "sagemaker:*HumanLoops",
                "sagemaker:*HumanTaskUi",
                "sagemaker:*HumanTaskUis",
                "sagemaker:*HyperParameterTuningJob",
                "sagemaker:*HyperParameterTuningJobs",
                "sagemaker:*LabelingJob",
                "sagemaker:*LabelingJobs",
                "sagemaker:*Metrics",
                "sagemaker:*Model",
                "sagemaker:*ModelPackage",
                "sagemaker:*ModelPackages",
                "sagemaker:*Models",
                "sagemaker:*MonitoringExecutions",
                "sagemaker:*MonitoringSchedule",
                "sagemaker:*MonitoringSchedules",
                "sagemaker:*NotebookInstance",
                "sagemaker:*NotebookInstanceLifecycleConfig",
                "sagemaker:*NotebookInstanceLifecycleConfigs",
                "sagemaker:*NotebookInstanceUrl",
                "sagemaker:*NotebookInstances",
                "sagemaker:*ProcessingJob",
                "sagemaker:*ProcessingJobs",
                "sagemaker:*RenderUiTemplate",
                "sagemaker:*Search",
                "sagemaker:*SearchSuggestions",
                "sagemaker:*Tags",
                "sagemaker:*TrainingJob",
                "sagemaker:*TrainingJobs",
                "sagemaker:*TransformJob",
                "sagemaker:*TransformJobs",
                "sagemaker:*Trial",
                "sagemaker:*TrialComponent",
                "sagemaker:*TrialComponents",
                "sagemaker:*Trials",
                "sagemaker:*Workteam",
                "sagemaker:*Workteams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:*FlowDefinition"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "sagemaker:WorkteamType": [
                        "private-crowd",
                        "vendor-crowd"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:RegisterScalableTarget",
                "aws-marketplace:ViewSubscriptions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "codecommit:BatchGetRepositories",
                "codecommit:CreateRepository",
                "codecommit:GetRepository",
                "codecommit:ListBranches",
                "codecommit:ListRepositories",
                "cognito-idp:AdminAddUserToGroup",
                "cognito-idp:AdminCreateUser",
                "cognito-idp:AdminDeleteUser",
                "cognito-idp:AdminDisableUser",
                "cognito-idp:AdminEnableUser",
                "cognito-idp:AdminRemoveUserFromGroup",
                "cognito-idp:CreateGroup",
                "cognito-idp:CreateUserPool",
                "cognito-idp:CreateUserPoolClient",
                "cognito-idp:CreateUserPoolDomain",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "cognito-idp:UpdateUserPool",
                "cognito-idp:UpdateUserPoolClient",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateVpcEndpoint",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ecr:BatchCheckLayerAvailability",
                "ecr:BatchGetImage",
                "ecr:CreateRepository",
                "ecr:Describe*",
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets",
                "fsx:DescribeFileSystems",
                "glue:CreateJob",
                "glue:DeleteJob",
                "glue:GetJob",
                "glue:GetJobRun",
                "glue:GetJobRuns",
                "glue:GetJobs",
                "glue:ResetJobBookmark",
                "glue:StartJobRun",
                "glue:UpdateJob",
                "groundtruthlabeling:*",
                "iam:ListRoles",
                "kms:DescribeKey",
                "kms:ListAliases",
                "lambda:ListFunctions",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "logs:PutLogEvents",
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:DescribeResourcePolicies",
                "logs:GetLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:SetRepositoryPolicy",
                "ecr:CompleteLayerUpload",
                "ecr:BatchDeleteImage",
                "ecr:UploadLayerPart",
                "ecr:DeleteRepositoryPolicy",
                "ecr:InitiateLayerUpload",
                "ecr:DeleteRepository",
                "ecr:PutImage"
            ],
            "Resource": "arn:aws:ecr:*:*:repository/*sagemaker*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "codecommit:GitPull",
                "codecommit:GitPush"
            ],
            "Resource": [
                "arn:aws:codecommit:*:*:*sagemaker*",
                "arn:aws:codecommit:*:*:*SageMaker*",
                "arn:aws:codecommit:*:*:*Sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:CreateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "robomaker:CreateSimulationApplication",
                "robomaker:DescribeSimulationApplication",
                "robomaker:DeleteSimulationApplication"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "robomaker:CreateSimulationJob",
                "robomaker:DescribeSimulationJob",
                "robomaker:CancelSimulationJob"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload",
                "s3:GetBucketCors",
                "s3:PutBucketCors"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*aws-glue*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*SageMaker*",
                "arn:aws:lambda:*:*:function:*sagemaker*",
                "arn:aws:lambda:*:*:function:*Sagemaker*",
                "arn:aws:lambda:*:*:function:*LabelingFunction*"
            ]
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "robomaker.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:Subscribe",
                "sns:CreateTopic"
            ],
            "Resource": [
                "arn:aws:sns:*:*:*SageMaker*",
                "arn:aws:sns:*:*:*Sagemaker*",
                "arn:aws:sns:*:*:*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "sagemaker.amazonaws.com",
                        "glue.amazonaws.com",
                        "robomaker.amazonaws.com",
                        "states.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie enthält Berechtigungen für die Ausführung dieser Aktion auf der Konsole oder für die programmgesteuerte Ausführung über die AWS CLI oder die AWS-API.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Steuerung der Erstellung von SageMaker-AI-Ressourcen mit Bedingungsschlüsseln

Steuern Sie den feinkörnigen Zugriff, um die Erstellung von SageMaker-AI-Ressourcen mithilfe von SageMaker-AI-spezifischen Bedingungsschlüsseln zu ermöglichen. Informationen zur Verwendung von Bedingungsschlüsseln in IAM-Richtlinien finden Sie unter IAM JSON Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.

Die Bedingungsschlüssel, zugehörige API-Aktionen und Links zur entsprechenden Dokumentation, sind unter Bedingungsschlüssel für SageMaker AI in der Service-Authorization-Referenz aufgeführt.

Die folgenden Beispiele zeigen, wie Sie die SageMaker-AI-Bedingungsschlüssel zur Steuerung des Zugriffs verwenden können.

Themen

Steuerung des Zugriffs auf SageMaker-AI-Ressourcen mithilfe von Dateisystem-Bedingungsschlüsseln
Beschränken des Trainings auf eine bestimmte VPC
Beschränken des Zugriffs auf Workforce-Typen für Ground-Truth-Beschriftungsaufträge und Amazon A2I Human Review Workflows
Erzwingen der Verschlüsselung von Eingabedaten
Erzwingen der Netzwerkisolierung für Trainingsaufträge
Erzwingen eines bestimmten Instance-Typs für Trainingsaufträge
Erzwingen der Deaktivierung des Internetzugriffs und des Root-Zugriffs zum Erstellen von Notebook-Instances

Steuerung des Zugriffs auf SageMaker-AI-Ressourcen mithilfe von Dateisystem-Bedingungsschlüsseln

SageMaker-AI-Training bietet eine sichere Infrastruktur, in der der Trainingsalgorithmus abläuft, aber in manchen Fällen möchten Sie vielleicht eine größere Sicherheitstiefe. Beispielsweise minimieren Sie das Risiko, nicht vertrauenswürdigen Code in Ihrem Algorithmus auszuführen, oder Sie haben bestimmte Sicherheitsvorgaben in Ihrer Organisation. In diesen Szenarien können Sie die dienstspezifischen Bedingungsschlüssel im Condition-Element einer IAM-Richtlinie verwenden, um den Benutzer auf Folgendes zu beschränken:

spezifische Dateisysteme
Verzeichnisse
Zugriffsmodi (Lesevorgänge möglich)
Sicherheitsgruppen

Themen

Beschränken eines IAM-Benutzers auf bestimmte Verzeichnisse und Zugriffsmodi
Beschränken eines Benutzers auf ein bestimmtes Dateisystem

Beschränken eines IAM-Benutzers auf bestimmte Verzeichnisse und Zugriffsmodi

Die folgende Richtlinie schränkt den Zugriff eines Benutzers auf die Verzeichnisse /sagemaker/xgboost-dm/train und /sagemaker/xgboost-dm/validation eines EFS-Dateisystems auf den ro (schreibgeschützten) Zugriffsmodus ein:

Anmerkung

Wenn ein Verzeichnis zulässig ist, kann der Trainingsalgorithmus auch auf alle seine Unterverzeichnisse zugreifen. POSIX-Berechtigungen werden ignoriert.

Beschränken eines Benutzers auf ein bestimmtes Dateisystem

Um zu verhindern, dass ein böswilliger Algorithmus mithilfe eines Userspace-Clients direkt auf ein Dateisystem in Ihrem Konto zugreift, können Sie den Netzwerkverkehr einschränken. Um diesen Datenverkehr einzuschränken, lassen Sie nur Zugriffe von einer bestimmten Sicherheitsgruppe aus zu. Im folgenden Beispiel kann der -Benutzer nur die angegebene Sicherheitsgruppe für den Zugriff auf das Dateisystem verwenden:

Dieses Beispiel kann einen Algorithmus auf ein bestimmtes Dateisystem beschränken. Es verhindert jedoch nicht, dass ein Algorithmus mithilfe des Userspace-Clients auf ein beliebiges Verzeichnis innerhalb dieses Dateisystems zugreift. Um dies zu vermeiden, haben Sie folgende Möglichkeiten:

Stellen Sie sicher, dass das Dateisystem nur Daten enthält, auf die Ihre -Benutzer zugreifen können.
Erstellen Sie eine IAM-Rolle, die Ihre Benutzer auf das Starten von Trainingsaufträgen mit Algorithmen aus genehmigten ECR-Repositorys einschränkt

Weitere Informationen zur Verwendung von Rollen mit SageMaker AI finden Sie unter SageMaker-Rollen.

Beschränken des Trainings auf eine bestimmte VPC

Beschränken Sie einen AWS-Benutzer auf die Erstellung von Trainingsaufträgen innerhalb einer Amazon VPC. Wenn ein Trainingsjob in einer VPC erstellt wird, können Sie VPC-Flow-Protokolle verwenden, um den gesamten Datenverkehr zum und vom Trainingscluster zu überwachen. Informationen zur Verwendung von VPC-Flow-Protokollen finden Sie unter VPC-Flow-Protokolle im Amazon Virtual Private Cloud-Benutzerhandbuch.

Die folgende Richtlinie erzwingt, dass ein Trainingsjob von einem Benutzer erstellt wird, der CreateTrainingJob aus einem VPC heraus aufruft:

Beschränken des Zugriffs auf Workforce-Typen für Ground-Truth-Beschriftungsaufträge und Amazon A2I Human Review Workflows

Die Arbeitsteams von Amazon SageMaker Ground Truth und Amazon Augmented AI lassen sich in eine von drei Workforce-Typen einteilen:

öffentlich (mit Amazon Mechanical Turk)
private
vendor

Sie können den Benutzerzugriff auf ein bestimmtes Arbeitsteam beschränken, indem Sie einen dieser Typen oder den ARN des Arbeitsteams verwenden. Verwenden Sie dazu die Tasten sagemaker:WorkteamType und/oder die sagemaker:WorkteamArn Bedingungstasten. Verwenden Sie als sagemaker:WorkteamType-Bedingungsschlüssel Bedingungsoperatoren für Zeichenfolgen. Verwenden Sie für den sagemaker:WorkteamArn-Bedingungsschlüssel Amazon-Ressourcennamen(ARN)-Zustandsoperatoren. Wenn der Benutzer versucht, einen Kennzeichnungsauftrag mit eingeschränktem Arbeitsteam zu erstellen, verweigert SageMaker AI den Zugriff und zeigt die Fehlermeldung „Zugriff verweigert“.

Die folgenden Richtlinien zeigen verschiedene Möglichkeiten zur Verwendung der Bedingungsschlüssel sagemaker:WorkteamType und sagemaker:WorkteamArn mit geeigneten Bedingungsoperatoren und gültigen Bedingungswerten.

Im folgenden Beispiel wird der sagemaker:WorkteamType-Bedingungsschlüssel zusammen mit dem StringEquals-Bedingungsoperator verwendet, um den Zugriff auf ein öffentliches Arbeitsteam zu beschränken. Akzeptiert werden Bedingungswerte im folgenden Format: workforcetype-crowd, dabei kann workforcetype gleich public, private oder vendor sein.

Die folgenden Richtlinien zeigen, wie Sie mithilfe des sagemaker:WorkteamArn-Bedingungsschlüssels den Zugriff auf ein öffentliches Arbeitsteam einschränken. Die erste zeigt, wie man ihn mit einer gültigen IAM-Regex-Variante der ARN des Arbeitsteams und dem ArnLike Bedingungsoperator verwendet. Die zweite zeigt, wie Sie es mit dem ArnEquals-Bedingungsoperator und dem Arbeitsteam-ARN verwenden.

Erzwingen der Verschlüsselung von Eingabedaten

Die folgende Richtlinie beschränkt einen Benutzer darauf, beim Erstellen einen AWS KMS-Schlüssel zur Verschlüsselung von Eingabedaten unter Verwendung des sagemaker:VolumeKmsKey-Bedingungsschlüssels anzugeben:

Training
Hyperparameter-Abstimmung
Labeling-Aufträge

Erzwingen der Netzwerkisolierung für Trainingsaufträge

Die folgende Richtlinie schränkt einen Benutzer ein, die Netzwerkisolierung bei der Erstellung von Trainingsaufträgen mit Hilfe des sagemaker:NetworkIsolation Bedingungsschlüssels zu aktivieren:

Erzwingen eines bestimmten Instance-Typs für Trainingsaufträge

Die folgende Richtlinie schränkt einen Benutzer auf die Verwendung eines bestimmten Instance-Typs bei der Erstellung von Trainingsaufträgen ein, indem sie den sagemaker:InstanceTypes Bedingungsschlüssel verwendet:

Erzwingen der Deaktivierung des Internetzugriffs und des Root-Zugriffs zum Erstellen von Notebook-Instances

Sie können sowohl den Internetzugriff als auch den Root-Zugriff auf Notebook-Instances deaktivieren, um sie sicherer zu machen. Informationen zur Steuerung des Root-Zugriffs auf eine Notebook-Instance finden Sie unter Steuern des Root-Zugriffs auf eine SageMaker Notebook-Instance. Informationen zum Deaktivieren des Internetzugriffs für eine Notebook-Instance finden Sie unterVerbinden einer Notebook-Instance in einer VPC mit externen Ressourcen.

Die folgende Richtlinie sieht vor, dass ein Benutzer den Netzwerkzugriff beim Erstellen einer Instance und den Root-Zugriff beim Erstellen oder Aktualisieren einer Notebook-Instance deaktivieren muss.

Steuerung des Zugriffs auf SageMaker-AI-API mithilfe von identitätsbasierten Richtlinien

Verwenden Sie identitätsbasierte IAM-Richtlinien, um den Zugriff auf API-Aufrufe von SageMaker AI und Aufrufe an von SageMaker AI bereitgestellte Endpunkte zu steuern.

Themen

Beschränken des Zugriffs auf SageMaker-AI-API und Laufzeit auf Anrufe aus Ihrer VPC

Beschränken des Zugriffs auf SageMaker-AI-API und Laufzeit auf Anrufe aus Ihrer VPC

Wenn Sie einen Schnittstellenendpunkt in Ihrer VPC einrichten, können Personen außerhalb der VPC über das Internet eine Verbindung zur SageMaker-AI-API und zur Laufzeitumgebung herstellen. Um dies zu verhindern, fügen Sie eine IAM-Richtlinie hinzu, die den Zugriff auf Anrufe aus der VPC einschränkt. Diese Anrufe müssen auf alle Benutzer und Gruppen beschränkt sein, die Zugriff auf Ihre SageMaker AI-Ressourcen haben. Informationen zum Erstellen eines VPC-Schnittstellenendpunkts für die SageMaker-AI-API und -Laufzeit finden Sie unter Verbinden mit SageMaker AI innerhalb Ihrer VPC.

Wichtig

Wenn Sie eine IAM-Richtlinie anwenden, die einer der folgenden ähnelt, können Benutzer nicht über die Konsole auf die angegebenen SageMaker-AI-APIs zugreifen.

Zum Beschränken des Zugriffs ausschließlich auf Verbindungen von innerhalb Ihrer VPC erstellen Sie eine AWS Identity and Access Management-Richtlinie, die den Zugriff beschränkt. Dieser Zugriff darf nur auf Anrufe beschränkt werden, die aus Ihrer VPC kommen. Fügen Sie diese Richtlinie dann jedem AWS Identity and Access Management-Benutzer, jeder Gruppe oder Rolle hinzu, die für den Zugriff auf die SageMaker-AI-API oder -Laufzeit verwendet wird.

Anmerkung

Diese Richtlinie erlaubt Verbindungen nur zu Aufrufern innerhalb eines Subnetzes, in dem Sie einen Schnittstellendpunkt erstellt haben.

Um den Zugriff auf die API auf Aufrufe zu beschränken, die über den Schnittstellenendpunkt erfolgen, verwenden Sie den Bedingungsschlüssel aws:SourceVpce anstelle von aws:SourceVpc:

Beschränken des Zugriffs auf SageMaker-AI-API- und Laufzeitaufrufe nach IP-Adresse

Sie können den Zugriff auf API-Aufrufe und Runtime-Aufrufe von SageMaker AI nur über IP-Adressen in einer von Ihnen angegebenen Liste zulassen. Erstellen Sie dazu eine IAM-Richtlinie, die den Zugriff auf die API verweigert, sofern der Anruf nicht von einer IP-Adresse in der Liste stammt. Dann fügen Sie diese Richtlinie sämtlichen AWS Identity and Access Management-Benutzern, -Gruppen oder -Rollen hinzu, die für den Zugriff auf die API oder Laufzeit verwendet werden. Informationen zum Erstellen von IAM-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien im AWS Identity and Access Management Benutzerhandbuch.

Um die Liste der IP-Adressen anzugeben, die Zugriff auf die API-Aufrufe haben, verwenden Sie den folgenden Befehl:

IpAddress-Bedingungsoperator
aws:SourceIP-Bedingungskontextschlüssel

Informationen über IAM-Bedingungsoperatoren finden Sie unter IAM JSON-Richtlinienelemente: Bedingungsoperatoren im AWS Identity and Access Management Benutzerhandbuch. Informationen über IAM-Bedingungskontextschlüssel finden Sie unter AWS Globale Bedingungskontextschlüssel.

Die folgende Richtlinie erlaubt beispielsweise den Zugriff auf CreateTrainingJob nur von IP-Adressen in den Bereichen 192.0.2.0–192.0.2.255 und 203.0.113.0–203.0.113.255:

Einschränken des Zugriffs auf eine Notebook-Instance nach IP-Adresse

Sie können den Zugriff auf eine Notebook-Instance nur über IP-Adressen in einer von Ihnen angegebenen Liste zulassen. Erstellen Sie dazu eine IAM-Richtlinie, die den Zugriff verweigert, CreatePresignedNotebookInstanceUrlsofern der Anruf nicht von einer IP-Adresse in der Liste stammt. Dann fügen Sie diese Richtlinie sämtlichen AWS Identity and Access Management-Benutzern, -Gruppen oder -Rollen hinzu, die für den Zugriff auf die Notebook-Instance verwendet werden. Informationen zum Erstellen von IAM-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien im AWS Identity and Access Management Benutzerhandbuch.

Zum Angeben der Liste von IP-Adressen, die Zugriff auf die Notebook-Instance haben sollen, verwenden Sie den:

IpAddress-Bedingungsoperator
aws:SourceIP-Bedingungskontextschlüssel

Die folgende Richtlinie erlaubt beispielsweise den Zugriff auf eine Notebook-Instance nur dann, wenn die IP-Adresse im Bereich 192.0.2.0–192.0.2.255 oder 203.0.113.0–203.0.113.255 liegt:

Die Richtlinie beschränkt den Zugriff sowohl für das Aufrufen von CreatePresignedNotebookInstanceUrl als auch für die URL, die durch diesen Aufruf zurückgegeben wird. Außerdem beschränkt die Richtlinie den Zugriff für das Öffnen einer Notebook-Instance in der Konsole. Es wird für jede HTTP-Anfrage und jeden WebSocket-Frame erzwungen, der versucht, eine Verbindung zur Notebook-Instance herzustellen.

Anmerkung

Die Verwendung dieser Methode zum Filtern nach IP-Adresse ist nicht kompatibel, wenn eine Verbindung zu SageMaker AI über einen VPC-Schnittstellenendpunkt hergestellt wird. Informationen zum Einschränken des Zugriffs auf eine Notebook-Instance bei Verbindung über einen VPC-Schnittstellenendpunkt finden Sie unter Herstellen einer Verbindung zu einer Notebook-Instance über einen VPC-Schnittstellenendpunkt.

Steuerung des Zugriffs auf SageMaker-AI-Ressourcen mithilfe von Tags

Geben Sie innerhalb einer IAM-Richtlinie Tags an, um den Zugriff auf Gruppen von SageMaker-AI-Ressourcen zu kontrollieren. Verwendung von Tags zur Umsetzung der attributbasierten Zugriffskontrolle (ABAC). Mithilfe von Tags können Sie den Zugriff auf Ressourcen auf bestimmte Benutzergruppen aufteilen. Sie können ein Team mit Zugriff auf eine Gruppe von Ressourcen und ein anderes Team mit Zugriff auf eine andere Gruppe von Ressourcen haben. Sie können in den IAM-Richtlinien ResourceTag Bedingungen festlegen, um den Zugriff für jede Gruppe zu gewähren.

Anmerkung

Mit tagbasierten Richtlinien lassen sich folgende API-Aufrufe nicht einschränken:

DeleteImageVersion
Beschreiben Sie ImageVersion
ListAlgorithms
ListCodeRepositorys
ListCompilationJobs
ListEndpointConfigs
ListEndpoints
ListFlowDefinitions
ListHumanTaskUis
ListHyperparameterTuningJobs
ListLabelingJobs
ListLabelingJobsForWorkteam
ListModelPackages
ListModels
ListNotebookInstanceLifecycleConfigs
ListNotebookInstances
ListSubscribedWorkteams
ListTags
ListProcessingJobs
ListTrainingJobs
ListTrainingJobsForHyperParameterTuningJob
ListTransformJobs
ListWorkteams
Suche

Ein einfaches Beispiel kann Ihnen helfen zu verstehen, wie Sie Tags verwenden können, um Ressourcen zu partitionieren. Angenommen, Sie haben zwei verschiedene IAM-Gruppen mit den Namen DevTeam1 und DevTeam2 in Ihrem AWS Konto definiert. Sie haben auch 10 Notebook-Instances erstellt. Sie verwenden 5 der Notebook-Instances für ein Projekt. Sie verwenden die anderen 5 für ein zweites Projekt. Sie können DevTeam1 mit Berechtigungen API-Aufrufe durchzuführen für die Notebook-Instances bereitstellen, die Sie für das erste Projekt verwenden. Sie können DevTeam2 angeben, dass API-Aufrufe für Notebook-Instances getätigt werden, die für das zweite Projekt verwendet werden.

Das folgende Verfahren bietet ein einfaches Beispiel, das Ihnen hilft, das Konzept des Hinzufügens von Tags zu verstehen. Sie können es verwenden, um die im vorherigen Absatz beschriebene Lösung zu implementieren.

So steuern Sie den Zugriff auf API-Aufrufe (Beispiel)

Fügen Sie ein Tag mit dem Schlüssel Project und dem Wert A zu den Notebook-Instances für das erste Projekt hinzu. Informationen zum Hinzufügen von Tags zu SageMaker-AI-Ressourcen finden Sie unter AddTags.
Fügen Sie ein Tag mit dem Schlüssel Project und dem Wert B zu den Notebook-Instances für das zweite Projekt hinzu.
Erstellen Sie eine IAM-Richtlinie mit einer ResourceTag-Bedingung, die den Zugriff auf die für das zweite Projekt verwendeten Notebook-Instances verweigert. Hängen Sie diese Richtlinie dann an. DevTeam1 Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die alle API-Aufrufe an Notebook-Instances verweigert, die über ein Tag mit dem Schlüssel Project und dem Wert B verfügen:
JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:*", "Resource": "*" }, { "Effect": "Deny", "Action": "sagemaker:*", "Resource": "*", "Condition": { "StringEquals": { "sagemaker:ResourceTag/Project": "B" } } }, { "Effect": "Deny", "Action": [ "sagemaker:AddTags", "sagemaker:DeleteTags" ], "Resource": "*" } ] }
Informationen über die Erstellung von IAM-Richtlinien und deren Anhängen an Identitäten finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Zugriffskontrolle mithilfe von Richtlinien.

Erstellen Sie eine IAM-Richtlinie mit einer ResourceTag-Bedingung, die den Zugriff auf die für das erste Projekt verwendeten Notebook-Instances verweigert. Hängen Sie diese Richtlinie dann an. DevTeam2 Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die alle API-Aufrufe an Notebook-Instances verweigert, die über ein Tag mit dem Schlüssel Project und dem Wert A verfügen:

Bereitstellen von Berechtigungen für das Markieren von SageMaker-AI-Ressourcen

Tags sind Metadaten-Labels, die Sie bestimmten AWS Ressourcen zuordnen können. Ein Tag besteht aus einem Schlüssel-Wert-Paar, das eine flexible Möglichkeit bietet, Ressourcen mit Metadatenattributen für verschiedene Anwendungsfälle zu versehen, darunter:

search
Sicherheit
Kostenzuweisung
Zugriffskontrolle
-Automatisierung

Sie können für Berechtigungen und Richtlinien, Dienstkontingente und Integrationen mit anderen AWS Diensten verwendet werden. Tags können benutzerdefiniert oder beim Erstellen von AWS Ressourcen generiert werden. Dies hängt davon ab, ob ein Benutzer benutzerdefinierte Tags manuell angibt oder ob ein AWS Dienst automatisch ein Tag generiert.

Benutzerdefinierte Tags in SageMaker AI: Benutzer können Tags hinzufügen, wenn sie SageMaker AI-Ressourcen mithilfe von SageMaker-SDKs, der AWS CLI CLI, SageMaker-APIs, der SageMaker-AI-Konsole oder Vorlagen erstellen. CloudFormation

Anmerkung
Benutzerdefinierte Tags können überschrieben werden, wenn eine Ressource später aktualisiert und der Tag-Wert geändert oder ersetzt wird. Beispielsweise könnte ein mit {Team: A} erstellter Trainingsjob unsachgemäß aktualisiert und als {Team: B} neu markiert werden. Infolgedessen werden die zulässigen Berechtigungen möglicherweise falsch zugewiesen. Daher ist Vorsicht geboten, wenn Benutzern oder Gruppen das Hinzufügen von Stichwörtern gestattet wird, da diese möglicherweise vorhandene Tagwerte überschreiben können. Es hat sich bewährt, Tag-Berechtigungen eng einzuschränken und IAM-Bedingungen zu verwenden, um die Tagging-Fähigkeiten zu kontrollieren.
AWSgenerierte Tags in SageMaker AI: SageMaker AI markiert automatisch bestimmte Ressourcen, die es erstellt. Beispielsweise weisen Studio und Studio Classic das sagemaker:domain-arn Tag automatisch den von ihnen erstellten SageMaker-KI-Ressourcen zu. Die Kennzeichnung neuer Ressourcen mit der Domain ARN ermöglicht die Rückverfolgbarkeit der Herkunft von SageMaker-KI-Ressourcen wie Trainingsjobs, Modellen und Endpunkten. Für eine genauere Kontrolle und Nachverfolgung erhalten neue Ressourcen zusätzliche Tags wie:
- sagemaker:user-profile-arn- Der ARN des Benutzerprofils, das die Ressource erstellt hat. Dies ermöglicht die Nachverfolgung von Ressourcen, die von bestimmten Benutzern erstellt wurden.
- sagemaker:space-arn- Der ARN des Bereichs, in dem die Ressource erstellt wurde. Dies ermöglicht das Gruppieren und Isolieren von Ressourcen pro Bereich.
Anmerkung
AWSgenerierte Tags können von Benutzern nicht geändert werden.

Allgemeine Informationen zum Taggen von AWS-Ressourcen und bewährte Methoden finden Sie unter Markieren Ihrer AWS-Ressourcen. Informationen zu den wichtigsten Anwendungsfällen für Tagging finden Sie unter Anwendungsfälle taggen.

Erteilen Sie die Erlaubnis, Tags hinzuzufügen, wenn Sie SageMaker AI-Ressourcen erstellen

Sie können Benutzern (benutzerdefinierte Tags) oder Studio und Studio Classic (AWSgenerierte Tags) erlauben, bei der Erstellung Tags zu neuen SageMaker AI-Ressourcen hinzuzufügen. Dazu müssen ihre IAM-Berechtigungen beides beinhalten:

Die grundlegende SageMaker-KI-Erstellungsberechtigung für diesen Ressourcentyp.
Die sagemaker:AddTags Erlaubnis.

Um einem Benutzer beispielsweise zu erlauben, einen SageMaker-Trainingsjob zu erstellen und ihn mit Tags zu versehen, müssten Berechtigungen für sagemaker:CreateTrainingJob und erteilt werden. sagemaker:AddTags

Wichtig

Benutzerdefinierte IAM-Richtlinien, die es Amazon SageMaker Studio oder Amazon SageMaker Studio Classic ermöglichen, Ressourcen von Amazon SageMaker AI zu erstellen, müssen auch Berechtigungen zum Hinzufügen von Tags zu diesen Ressourcen gewähren. Die Berechtigung zum Hinzufügen von Tags zu Ressourcen ist erforderlich, da Studio und Studio Classic automatisch alle von ihnen erstellten Ressourcen taggen. Wenn eine IAM-Richtlinie Studio und Studio Classic das Erstellen von Ressourcen, aber kein Tagging erlaubt, können bei dem Versuch, Ressourcen zu erstellen, „AccessDenied“-Fehler auftreten.

Verwaltete AWS-Richtlinien für Amazon SageMaker AIdie Berechtigungen zum Erstellen von SageMaker AI-Ressourcen gewähren, enthalten bereits Berechtigungen zum Hinzufügen von Tags bei der Erstellung dieser Ressourcen.

Administratoren ordnen diese IAM-Berechtigungen entweder folgenden Personen zu:

AWSDem Benutzer zugewiesene IAM-Rollen für benutzerdefinierte Tags
die Ausführungsrolle, die von Studio oder Studio Classic für AWS generierte Tags verwendet wird

Anweisungen zum Erstellen und Anwenden benutzerdefinierter IAM-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien (Konsole).

Anmerkung

Die Liste der Operationen zur Erstellung von KI-Ressourcen in SageMaker finden Sie in der SageMaker-API-Dokumentation, indem Sie nach Aktionen suchen, die mit beginnen. Create Diese Erstellungsaktionen, wie z. B. CreateTrainingJob undCreateEndpoint, sind die Operationen, mit denen neue SageMaker-KI-Ressourcen erstellt werden.

Fügen Sie bestimmten Erstellungsaktionen Tag-Berechtigungen hinzu

Sie gewähren die sagemaker:AddTags Genehmigung mit Einschränkungen, indem Sie der ursprünglichen Richtlinie zur Ressourcenerstellung eine zusätzliche IAM-Richtlinie hinzufügen. Die folgende Beispielrichtlinie erlaubtsagemaker:AddTags, beschränkt sie aber nur auf bestimmte Aktionen zur Erstellung von SageMaker AI-Ressourcen wie. CreateTrainingJob


{
  "Sid": "AllowAddTagsForCreateOperations",
  "Effect": "Allow",
  "Action": [
    "sagemaker:AddTags"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "sagemaker:TaggingAction": "CreateTrainingJob"
    }
  }
}

Die Richtlinienbedingung beschränkt sich sagemaker:AddTags darauf, zusammen mit bestimmten Erstellungsaktionen verwendet zu werden. Bei diesem Ansatz bleibt die Erstellungsberechtigungsrichtlinie erhalten, während eine zusätzliche Richtlinie den eingeschränkten sagemaker:AddTags Zugriff ermöglicht. Diese Bedingung verhindert pauschale sagemaker:AddTags Genehmigungen, da sie eng auf Erstellungsaktionen beschränkt wird, die markiert werden müssen. Dies implementiert Least Privilege for, sagemaker:AddTags indem es nur für bestimmte Anwendungsfälle zur Erstellung von KI-Ressourcen in SageMaker zugelassen wird.

Beispiel: Erlaube Tag-Berechtigungen global und beschränke Erstellungsaktionen auf eine Domain

In diesem Beispiel für eine benutzerdefinierte IAM-Richtlinie veranschaulichen die ersten beiden Aussagen die Verwendung von Tags zur Nachverfolgung der Ressourcenerstellung. Sie ermöglicht die sagemaker:CreateModel Aktion für alle Ressourcen und das Markieren dieser Ressourcen, wenn diese Aktion verwendet wird. Die dritte Anweisung zeigt, wie Tag-Werte verwendet werden können, um Operationen mit Ressourcen zu steuern. In diesem Fall wird verhindert, dass SageMaker AI-Ressourcen erstellt werden, die mit einem bestimmten Domain-ARN gekennzeichnet sind, wodurch der Zugriff auf der Grundlage des Tag-Werts eingeschränkt wird.

Insbesondere gilt:

Die erste Anweisung ermöglicht die CreateModel Aktion für jede Ressource (). *
Die zweite Anweisung erlaubt die sagemaker:AddTags Aktion, aber nur, wenn der sagemaker:TaggingAction Bedingungsschlüssel gleich ist. CreateModel Dadurch wird die sagemaker:AddTags Aktion nur dann eingeschränkt, wenn sie zum Markieren eines neu erstellten Modells verwendet wird.
Die dritte Anweisung verweigert jegliche Create Action (Create*) von SageMaker AI für eine Ressource (*), aber nur, wenn die Ressource ein Tag hat, das einem bestimmten Domain-ARN sagemaker:domain-arn entspricht,. domain-arn


{
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:CreateModel"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":"*",
         "Condition":{
            "String":{
               "sagemaker:TaggingAction":[
                  "CreateModel"
               ]
            }
         }
      },
      {
         "Sid":"IsolateDomain",
         "Effect":"Deny",
         "Resource":"*",
         "Action":[
            "sagemaker:Create*"
         ],
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:domain-arn":"domain-arn"
            }
         }
      }
   ]
}

Beschränken Sie den Zugriff auf durchsuchbare Ressourcen mit Sichtbarkeitsbedingungen

Verwenden Sie Sichtbarkeitsbedingungen, um den Zugriff Ihrer Benutzer auf bestimmte markierte Ressourcen innerhalb eines AWS Kontos zu beschränken. Ihre Benutzer können nur auf die Ressourcen zugreifen, für die sie über Berechtigungen verfügen. Wenn Ihre Benutzer ihre Ressourcen durchsuchen, können sie die Suchergebnisse auf bestimmte Ressourcen beschränken.

Möglicherweise möchten Sie, dass Ihre Benutzer nur die Ressourcen sehen und mit ihnen interagieren, die mit bestimmten Amazon SageMaker Studio- oder Amazon SageMaker Studio Classic-Domains verknüpft sind. Sie können Sichtbarkeitsbedingungen verwenden, um ihren Zugriff auf eine einzelne Domain oder mehrere Domains zu beschränken.



{
    "Sid": "SageMakerApis",
    "Effect": "Allow",
    "Action": "sagemaker:Search", 
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:AWS-Region:111122223333:domain/example-domain-1",
            "sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:AWS-Region:111122223333:domain/example-domain-2"
        }
    }
}

Das allgemeine Format einer Sichtbarkeitsbedingung ist"sagemaker:SearchVisibilityCondition/Tags.key": "value". Sie können das Schlüssel-Wert-Paar für jede markierte Ressource angeben.



{
   "MaxResults": number,
   "NextToken": "string",
   "Resource": "string", # Required Parameter
   "SearchExpression": { 
      "Filters": [ 
         { 
            "Name": "string",
            "Operator": "string",
            "Value": "string"
         }
      ],
      "NestedFilters": [ 
         { 
            "Filters": [ 
               { 
                  "Name": "string",
                  "Operator": "string",
                  "Value": "string"
               }
            ],
            "NestedPropertyName": "string"
         }
      ],
      "Operator": "string",
      "SubExpressions": [ 
         "SearchExpression"
      ]
   },
   "IsCrossAccount": "string",
   "VisibilityConditions" : [ List of conditions for visibility
         {"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:AWS-Region:111122223333:domain/example-domain-1"},
         {"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:AWS-Region:111122223333:domain/example-domain-2"}
]
   ],
   "SortBy": "string",
   "SortOrder": "string"
}

Die darin enthaltene Sichtbarkeitsbedingung verwendet dieselbe "sagemaker:SearchVisibilityCondition/Tags.key": "value" Formatierung, die in der Richtlinie angegeben ist. Ihre Benutzer können die Schlüssel-Wert-Paare angeben, die für jede markierte Ressource verwendet werden.

Wenn ein Benutzer den VisibilityConditions Parameter in seine Suchanfrage einbezieht, aber die Zugriffsrichtlinie, die für diesen Benutzer gilt, keine Schlüssel enthält, die den Bedingungen entsprechen, die in angegeben wurdenVisibilityConditions, ist die Search Anfrage trotzdem zulässig und wird ausgeführt.

Wenn in der Such-API-Anforderung des Benutzers kein VisibilityConditions Parameter angegeben ist, die für diesen Benutzer geltende Zugriffsrichtlinie jedoch Bedingungsschlüssel enthält, die sich auf diese beziehenVisibilityConditions, wird die Search Anfrage dieses Benutzers abgelehnt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Wie Amazon SageMaker AI mit IAM funktioniert

Serviceübergreifende Confused-Deputy-Prävention