Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio - Amazon SageMaker AI
SageMaker Ruoli di esecuzione dell'IAEsempio di autorizzazioni flessibili con i ruoli di esecuzione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio

Per molte applicazioni SageMaker AI, quando avvii un'applicazione SageMaker AI all'interno di un dominio, viene creato uno spazio per l'applicazione. Quando un profilo utente crea uno spazio, tale spazio assume un ruolo AWS Identity and Access Management (IAM) che definisce le autorizzazioni concesse a quello spazio. La pagina seguente fornisce informazioni sui tipi di spazio e sui ruoli di esecuzione che definiscono le autorizzazioni per lo spazio.

Un ruolo IAM è un'identità IAM che puoi creare nel tuo account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a quello di un utente IAM in quanto è un'AWSidentità con policy di autorizzazioni che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Invece, quando assumi un ruolo, ti fornisce credenziali di sicurezza temporanee per la tua sessione di ruolo.

Nota

Quando avvii Amazon SageMaker Canvas oppure RStudio, Amazon Canvas non crea uno spazio che assuma un ruolo IAM. Devi invece modificare il ruolo associato al profilo utente per gestire le relative autorizzazioni per l’applicazione. Per informazioni su come ottenere il ruolo di un profilo utente SageMaker AI, consultaAcquisizione del ruolo di esecuzione dell’utente.

Per SageMaker Canvas, vediConfigurazione e gestione delle autorizzazioni di Amazon SageMaker Canvas (per amministratori IT).

Per RStudio, vediCrea un dominio Amazon SageMaker AI con RStudio l'app.

Gli utenti possono accedere alle proprie applicazioni SageMaker AI all'interno di uno spazio condiviso o privato.

Spazi condivisi

  • Può esistere un solo spazio associato a un’applicazione. Tutti i profili utente all’interno del dominio possono accedere a uno spazio condiviso. In questo modo, tutti i profili utente del dominio possono accedere allo stesso sistema di archiviazione dei file sottostante per l’applicazione.

  • Allo spazio condiviso verranno concesse le autorizzazioni definite dal ruolo di esecuzione predefinito dello spazio. Per modificare il ruolo di esecuzione dello spazio condiviso, è necessario modificare il ruolo di esecuzione predefinito dello spazio.

    Per informazioni su come ottenere il ruolo di esecuzione predefinito dello spazio, consulta Acquisizione del ruolo di esecuzione dello spazio.

    Per informazioni su come modificare il ruolo di esecuzione, consulta Modifica delle autorizzazioni per il ruolo di esecuzione.

  • Per informazioni sugli spazi condivisi, consulta Collaborazione con spazi condivisi.

  • Per creare uno spazio condiviso, consulta Creazione di uno spazio condiviso.

Spazi privati

  • Può esistere un solo spazio associato a un’applicazione. Uno spazio privato è accessibile solo dal profilo utente che lo ha creato. Questo spazio non può essere condiviso con altri utenti.

  • Lo spazio privato assumerà il ruolo di esecuzione del profilo utente che lo ha creato. Per modificare il ruolo di esecuzione dello spazio privato, è necessario modificare il ruolo di esecuzione del profilo utente.

    Per informazioni su come ottenere il ruolo di esecuzione del profilo utente, consulta Acquisizione del ruolo di esecuzione dell’utente.

    Per informazioni su come modificare il ruolo di esecuzione, consulta Modifica delle autorizzazioni per il ruolo di esecuzione.

  • Tutte le applicazioni che supportano gli spazi supportano anche gli spazi privati.

  • Per impostazione predefinita, per ogni profilo utente viene già creato uno spazio privato per Studio Classic.

SageMaker Ruoli di esecuzione dell'IA

Un ruolo di esecuzione SageMaker AI è un ruolo di AWSIdentity and Access Management (IAM) assegnato a un'identità IAM che esegue esecuzioni SageMaker nell'IA. Un'identità IAM fornisce l'accesso a un AWS account e rappresenta un utente umano o un carico di lavoro programmatico che può essere autenticato e quindi autorizzato a eseguire azioni inAWS, che concede all' SageMaker IA le autorizzazioni per accedere ad altre risorse per tuo conto. AWS Questo ruolo consente all' SageMaker intelligenza artificiale di eseguire azioni come il lancio di istanze di calcolo, l'accesso ai dati e agli artefatti del modello archiviati in Amazon S3 o la scrittura di log su. CloudWatch SageMaker L'IA assume il ruolo di esecuzione in fase di esecuzione e riceve temporaneamente le autorizzazioni definite nella politica del ruolo. Il ruolo deve contenere le autorizzazioni necessarie che definiscono le azioni che l’identità può eseguire e le risorse a cui l’identità ha accesso. Puoi assegnare ruoli a varie identità per offrire un approccio flessibile e granulare alla gestione delle autorizzazioni e degli accessi all’interno del tuo dominio. Per ulteriori informazioni sui domini, consulta Panoramica del dominio Amazon SageMaker AI. Ad esempio, puoi assegnare ruoli IAM al:

  • Ruolo di esecuzione del dominio per concedere autorizzazioni globali a tutti i profili utente all’interno del dominio.

  • Ruolo di esecuzione dello spazio per concedere autorizzazioni globali per gli spazi condivisi all’interno del dominio. Tutti i profili utente del dominio possono accedere agli spazi condivisi e utilizzeranno il ruolo di esecuzione dello spazio all’interno dello spazio condiviso.

  • Ruolo di esecuzione del profilo utente per concedere autorizzazioni granulari a profili utente specifici. Uno spazio privato creato da un profilo utente assumerà il ruolo di esecuzione di quel profilo utente.

In questo modo, puoi concedere le autorizzazioni necessarie per il dominio mantenendo al tempo stesso il principio delle autorizzazioni con privilegio minimo per i profili utente, aderendo alle best practice di sicurezza in IAM descritte in AWS IAM Identity Center User Guide.

La propagazione di qualsiasi modifica ai ruoli di esecuzione potrebbe richiedere alcuni minuti. Per ulteriori informazioni, consulta rispettivamente Modifica del ruolo di esecuzione o Modifica delle autorizzazioni per il ruolo di esecuzione.

Esempio di autorizzazioni flessibili con i ruoli di esecuzione

Con i ruoli IAM puoi gestire e concedere le autorizzazioni sia a un livello globale che a un livello granulare. L’esempio seguente mostra come concedere le autorizzazioni a livello di spazio e a livello di utente.

Supponiamo che tu sia un amministratore che sta configurando un dominio per un team di Data Scientist. Puoi consentire ai profili utente all'interno del dominio di avere accesso completo ai bucket Amazon Simple Storage Service (Amazon S3), SageMaker eseguire lavori di formazione e distribuire modelli utilizzando un'applicazione in uno spazio condiviso. In questo esempio, puoi creare un ruolo IAM chiamato "DataScienceTeamRole" con autorizzazioni ampie. Quindi puoi assegnare "DataScienceTeamRole" come ruolo di esecuzione predefinito dello spazio, concedendo ampie autorizzazioni al tuo team. Quando un profilo utente crea uno spazio condiviso, tale spazio assumerà il ruolo di esecuzione predefinito dello spazio. Per informazioni su come assegnare un ruolo di esecuzione a un dominio esistente, consulta Acquisizione del ruolo di esecuzione dello spazio.

Invece di consentire a ogni singolo profilo utente che opera nel proprio spazio privato di avere pieno accesso ai bucket Amazon S3, puoi limitare le autorizzazioni di un profilo utente per impedire che modifichi i bucket Amazon S3. In questo esempio, puoi concedere loro l'accesso in lettura ai bucket Amazon S3 per recuperare dati, eseguire lavori di SageMaker formazione e distribuire modelli nel loro spazio privato. Puoi creare un ruolo di esecuzione a livello utente chiamato "DataScientistRole" con autorizzazioni relativamente più limitate. È quindi possibile assegnare "DataScientistRole" al ruolo di esecuzione del profilo utente, concedendo le autorizzazioni necessarie per eseguire le attività specifiche di data science nell'ambito definito. Quando un profilo utente crea uno spazio privato, tale spazio assumerà il ruolo di esecuzione dell’utente. Per informazioni su come assegnare un ruolo di esecuzione a un profilo utente esistente, consulta Acquisizione del ruolo di esecuzione dell’utente.

Per informazioni sui ruoli di esecuzione dell' SageMaker IA e sull'aggiunta di autorizzazioni aggiuntive, consulta. Come utilizzare i ruoli di esecuzione dell' SageMaker IA