Isolamento delle risorse di dominio - Amazon SageMaker AI
ConsoleAWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Isolamento delle risorse di dominio

Importante

Le politiche IAM personalizzate che consentono ad Amazon SageMaker Studio o Amazon SageMaker Studio Classic di creare SageMaker risorse Amazon devono inoltre concedere le autorizzazioni per aggiungere tag a tali risorse. L’autorizzazione per aggiungere tag alle risorse è necessaria perché Studio e Studio Classic applicano automaticamente tag a tutte le risorse che creano. Se una policy IAM consente a Studio e Studio Classic di creare risorse ma non consente l'etichettatura, possono verificarsi errori AccessDenied "" durante il tentativo di creare risorse. Per ulteriori informazioni, consulta Fornisci le autorizzazioni per etichettare SageMaker le risorse AI.

AWSpolitiche gestite per Amazon SageMaker AIche danno i permessi per creare SageMaker risorse includono già le autorizzazioni per aggiungere tag durante la creazione di tali risorse.

Puoi isolare le risorse tra ciascuno dei domini del tuo account e Regione AWS utilizzare una policy AWS Identity and Access Management (IAM). Non sarà più possibile accedere alle risorse isolate da altri domini. In questo argomento verranno descritte le condizioni richieste per la policy IAM e come applicarle.

I tipi di risorse che possono essere isolati da questa policy sono quelli con chiavi di condizione contenenti aws:ResourceTag/${TagKey} o sagemaker:ResourceTag/${TagKey}. Per un riferimento sulle risorse di SageMaker intelligenza artificiale e sulle chiavi di condizione associate, consulta Azioni, risorse e chiavi di condizione per Amazon SageMaker AI.

avvertimento

I tipi di risorse che non contengono le chiavi di condizione di cui sopra (e di conseguenza le Azioni che utilizzano i tipi di risorse) non sono interessati da questa policy di isolamento delle risorse. Ad esempio, il tipo di risorsa pipeline-execution non contiene le chiavi di condizione di cui sopra e non è interessato da questa policy. Di conseguenza, le azioni seguenti, con il tipo di risorsa pipeline-execution, non sono supportate per l’isolamento delle risorse:

  • DescribePipelineExecution

  • StopPipelineExecution

  • UpdatePipelineExecution

  • RetryPipelineExecution

  • DescribePipelineDefinitionForExecution

  • ListPipelineExecutionSteps

  • SendPipelineExecutionStepSuccess

  • SendPipelineExecutionStepFailure

L’argomento seguente mostra come creare una nuova policy IAM che limiti l’accesso alle risorse del dominio ai profili utente con il tag di dominio, nonché come collegare questa policy al ruolo di esecuzione IAM del dominio. Devi ripetere questa procedura per ogni dominio del tuo account. Per ulteriori informazioni sui tag di dominio e sul riempimento di questi tag, consulta Panoramica sull’utilizzo di più domini.

Console

La sezione seguente mostra come creare una nuova policy IAM che limiti l'accesso alle risorse del dominio ai profili utente con il tag domain, nonché come collegare questa policy al ruolo di esecuzione IAM del dominio, dalla console Amazon SageMaker AI.

Nota

Questa politica funziona solo nei domini che utilizzano Amazon SageMaker Studio Classic come esperienza predefinita.

  1. Crea una policy IAM denominata StudioDomainResourceIsolationPolicy-domain-id con il seguente documento di policy JSON completando le fasi descritte in Creazione di policy IAM (console).

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Collega la policy StudioDomainResourceIsolationPolicy-domain-id al ruolo di esecuzione del dominio completando le fasi descritte in Modifica di un ruolo (console).

AWS CLI

La sezione seguente mostra come creare una nuova policy IAM che limiti l’accesso alle risorse del dominio ai profili utente con il tag di dominio, nonché come collegare questa policy al ruolo di esecuzione del dominio, dalla AWS CLI.

Nota

Questa politica funziona solo nei domini che utilizzano Amazon SageMaker Studio Classic come esperienza predefinita.

  1. Dal tuo computer locale, crea un file locale denominato StudioDomainResourceIsolationPolicy-domain-id con il seguente contenuto.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Crea una nuova policy IAM utilizzando il file StudioDomainResourceIsolationPolicy-domain-id. 

    aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id

  3. Collega la policy appena creata a un ruolo nuovo o esistente utilizzato come ruolo di esecuzione del dominio. 

    aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role