Best practice per le policy Utilizzo della Console Consentire agli utenti di visualizzare le loro autorizzazioni Controlla la creazione di risorse SageMaker AI con le chiavi di condizione Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità Limita l'accesso all'API SageMaker AI e alle chiamate di runtime in base all'indirizzo IP Limitazione dell’accesso a un’istanza del notebook in base all’indirizzo IP Controlla l'accesso alle risorse SageMaker AI utilizzando i tag Fornisci le autorizzazioni per etichettare SageMaker le risorse AI Limitazione dell’accesso alle risorse ricercabili con condizioni di visibilità

Esempi di SageMaker policy basate sull'identità di Amazon AI

Per impostazione predefinita, gli utenti e i ruoli IAM non sono autorizzati a creare o modificare risorse SageMaker AI. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi collegare queste policy a utenti o IAM che richiedono tali autorizzazioni. Per informazioni su come collegare le policy a un utente o gruppo IAM, consulta Aggiunta e rimozione delle autorizzazioni di identità IAM in Informazioni di riferimento sull’autorizzazione del servizio.

Per informazioni su come creare una policy IAM basata sull’identità utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy nella scheda JSON.

Argomenti

Best practice per le policy
Utilizzo della console AI SageMaker
Consentire agli utenti di visualizzare le loro autorizzazioni
Controlla la creazione di risorse SageMaker AI con le chiavi di condizione
Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità
Limita l'accesso all'API SageMaker AI e alle chiamate di runtime in base all'indirizzo IP
Limitazione dell’accesso a un’istanza del notebook in base all’indirizzo IP
Controlla l'accesso alle risorse SageMaker AI utilizzando i tag
Fornisci le autorizzazioni per etichettare SageMaker le risorse AI
Limitazione dell’accesso alle risorse ricercabili con condizioni di visibilità

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse di SageMaker intelligenza artificiale nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:

Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta Policy gestite da AWS o Policy gestite da AWS per le funzioni dei processi nella Guida per l’utente di IAM.
Applicazione delle autorizzazioni con privilegio minimo - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegio minimo. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.
Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l’utente di IAM.
Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l’utente di IAM.
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare Protezione dell’accesso API con MFA nella Guida per l’utente di IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l’utente di IAM.

Utilizzo della console AI SageMaker

Per accedere alla console Amazon SageMaker AI, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di SageMaker intelligenza artificiale presenti nel tuo AWS account. Se crei una policy di autorizzazione basata sull’identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità associate a tale policy, inclusi gli utenti o i ruoli.

Per garantire che tali entità possano ancora utilizzare la console SageMaker AI, è inoltre necessario allegare alle entità la seguente politica AWS gestita. Per ulteriori informazioni, consulta Aggiunta di autorizzazioni a un utente in Informazioni di riferimento sull’autorizzazione del servizio:

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.

Argomenti

Autorizzazioni necessarie per utilizzare la console Amazon SageMaker AI
Autorizzazioni necessarie per utilizzare la console Amazon SageMaker Ground Truth
Autorizzazioni necessarie per utilizzare la console di Amazon Augmented AI (Anteprima)

Autorizzazioni necessarie per utilizzare la console Amazon SageMaker AI

La tabella di riferimento delle autorizzazioni elenca le operazioni dell'API Amazon SageMaker AI e mostra le autorizzazioni richieste per ciascuna operazione. Per ulteriori informazioni sulle operazioni delle API Amazon SageMaker AI, consultaAutorizzazioni API Amazon SageMaker AI: riferimento ad azioni, autorizzazioni e risorse.

Per utilizzare la console Amazon SageMaker AI, devi concedere le autorizzazioni per azioni aggiuntive. In particolare, la console necessita di autorizzazioni che consentano alle ec2 azioni di visualizzare sottoreti e gruppi di sicurezza VPCs. La console potrebbe richiedere l'autorizzazione per creare ruoli di esecuzione per attività come CreateNotebook, CreateTrainingJob e CreateModel. Concedi queste autorizzazioni con la seguente policy di autorizzazioni:

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
          "Sid": "SageMakerApis",
          "Effect": "Allow",
          "Action": [
            "sagemaker:*"
          ],
          "Resource": "*"
        },
        {
          "Sid": "VpcConfigurationForCreateForms",
          "Effect": "Allow",
          "Action": [
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeSecurityGroups"
          ],
          "Resource": "*"
        },
        {
            "Sid":"KmsKeysForCreateForms",
            "Effect":"Allow",
            "Action":[
              "kms:DescribeKey",
              "kms:ListAliases"
            ],
            "Resource":"*"
        },
        {
          "Sid": "AccessAwsMarketplaceSubscriptions",
          "Effect": "Allow",
          "Action": [
            "aws-marketplace:ViewSubscriptions"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "codecommit:BatchGetRepositories",
            "codecommit:CreateRepository",
            "codecommit:GetRepository",
            "codecommit:ListRepositories",
            "codecommit:ListBranches",
            "secretsmanager:CreateSecret",
            "secretsmanager:DescribeSecret",
            "secretsmanager:ListSecrets"
          ],
          "Resource": "*"
        },
        {
          "Sid":"ListAndCreateExecutionRoles",
          "Effect":"Allow",
          "Action":[
            "iam:ListRoles",
            "iam:CreateRole",
            "iam:CreatePolicy",
            "iam:AttachRolePolicy"
          ],
          "Resource":"*"
        },
        {
          "Sid": "DescribeECRMetaData",
          "Effect": "Allow",
          "Action": [
              "ecr:Describe*"
          ],
          "Resource": "*"
        },
        {
          "Sid": "PassRoleForExecutionRoles",
          "Effect": "Allow",
          "Action": [
            "iam:PassRole"
          ],
          "Resource": "*",
          "Condition": {
            "StringEquals": {
                "iam:PassedToService": "sagemaker.amazonaws.com"
            }
          }
        }
    ]
}

Autorizzazioni necessarie per utilizzare la console Amazon SageMaker Ground Truth

Per utilizzare la console Amazon SageMaker Ground Truth, devi concedere le autorizzazioni per risorse aggiuntive. In particolare, la console necessita delle autorizzazioni per:

il AWS Marketplace per visualizzare gli abbonamenti,
Operazioni di Amazon Cognito per gestire la forza lavoro privata
Azioni di Amazon S3 per l’accesso ai file di input e output
AWS Lambda azioni per elencare e richiamare funzioni

Concedi queste autorizzazioni con la seguente policy di autorizzazioni:

Autorizzazioni necessarie per utilizzare la console di Amazon Augmented AI (Anteprima)

Per utilizzare la console IA aumentata Amazon, occorre concedere le autorizzazioni per le risorse aggiuntive. Concedi queste autorizzazioni con la seguente policy di autorizzazioni:

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:*Algorithm",
                "sagemaker:*Algorithms",
                "sagemaker:*App",
                "sagemaker:*Apps",
                "sagemaker:*AutoMLJob",
                "sagemaker:*AutoMLJobs",
                "sagemaker:*CodeRepositories",
                "sagemaker:*CodeRepository",
                "sagemaker:*CompilationJob",
                "sagemaker:*CompilationJobs",
                "sagemaker:*Endpoint",
                "sagemaker:*EndpointConfig",
                "sagemaker:*EndpointConfigs",
                "sagemaker:*EndpointWeightsAndCapacities",
                "sagemaker:*Endpoints",
                "sagemaker:*Experiment",
                "sagemaker:*Experiments",
                "sagemaker:*FlowDefinitions",
                "sagemaker:*HumanLoop",
                "sagemaker:*HumanLoops",
                "sagemaker:*HumanTaskUi",
                "sagemaker:*HumanTaskUis",
                "sagemaker:*HyperParameterTuningJob",
                "sagemaker:*HyperParameterTuningJobs",
                "sagemaker:*LabelingJob",
                "sagemaker:*LabelingJobs",
                "sagemaker:*Metrics",
                "sagemaker:*Model",
                "sagemaker:*ModelPackage",
                "sagemaker:*ModelPackages",
                "sagemaker:*Models",
                "sagemaker:*MonitoringExecutions",
                "sagemaker:*MonitoringSchedule",
                "sagemaker:*MonitoringSchedules",
                "sagemaker:*NotebookInstance",
                "sagemaker:*NotebookInstanceLifecycleConfig",
                "sagemaker:*NotebookInstanceLifecycleConfigs",
                "sagemaker:*NotebookInstanceUrl",
                "sagemaker:*NotebookInstances",
                "sagemaker:*ProcessingJob",
                "sagemaker:*ProcessingJobs",
                "sagemaker:*RenderUiTemplate",
                "sagemaker:*Search",
                "sagemaker:*SearchSuggestions",
                "sagemaker:*Tags",
                "sagemaker:*TrainingJob",
                "sagemaker:*TrainingJobs",
                "sagemaker:*TransformJob",
                "sagemaker:*TransformJobs",
                "sagemaker:*Trial",
                "sagemaker:*TrialComponent",
                "sagemaker:*TrialComponents",
                "sagemaker:*Trials",
                "sagemaker:*Workteam",
                "sagemaker:*Workteams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:*FlowDefinition"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIfExists": {
                    "sagemaker:WorkteamType": [
                        "private-crowd",
                        "vendor-crowd"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DeleteScalingPolicy",
                "application-autoscaling:DeleteScheduledAction",
                "application-autoscaling:DeregisterScalableTarget",
                "application-autoscaling:DescribeScalableTargets",
                "application-autoscaling:DescribeScalingActivities",
                "application-autoscaling:DescribeScalingPolicies",
                "application-autoscaling:DescribeScheduledActions",
                "application-autoscaling:PutScalingPolicy",
                "application-autoscaling:PutScheduledAction",
                "application-autoscaling:RegisterScalableTarget",
                "aws-marketplace:ViewSubscriptions",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "codecommit:BatchGetRepositories",
                "codecommit:CreateRepository",
                "codecommit:GetRepository",
                "codecommit:ListBranches",
                "codecommit:ListRepositories",
                "cognito-idp:AdminAddUserToGroup",
                "cognito-idp:AdminCreateUser",
                "cognito-idp:AdminDeleteUser",
                "cognito-idp:AdminDisableUser",
                "cognito-idp:AdminEnableUser",
                "cognito-idp:AdminRemoveUserFromGroup",
                "cognito-idp:CreateGroup",
                "cognito-idp:CreateUserPool",
                "cognito-idp:CreateUserPoolClient",
                "cognito-idp:CreateUserPoolDomain",
                "cognito-idp:DescribeUserPool",
                "cognito-idp:DescribeUserPoolClient",
                "cognito-idp:ListGroups",
                "cognito-idp:ListIdentityProviders",
                "cognito-idp:ListUserPoolClients",
                "cognito-idp:ListUserPools",
                "cognito-idp:ListUsers",
                "cognito-idp:ListUsersInGroup",
                "cognito-idp:UpdateUserPool",
                "cognito-idp:UpdateUserPoolClient",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:CreateVpcEndpoint",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ecr:BatchCheckLayerAvailability",
                "ecr:BatchGetImage",
                "ecr:CreateRepository",
                "ecr:Describe*",
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeMountTargets",
                "fsx:DescribeFileSystems",
                "glue:CreateJob",
                "glue:DeleteJob",
                "glue:GetJob",
                "glue:GetJobRun",
                "glue:GetJobRuns",
                "glue:GetJobs",
                "glue:ResetJobBookmark",
                "glue:StartJobRun",
                "glue:UpdateJob",
                "groundtruthlabeling:*",
                "iam:ListRoles",
                "kms:DescribeKey",
                "kms:ListAliases",
                "lambda:ListFunctions",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "logs:PutLogEvents",
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:DescribeResourcePolicies",
                "logs:GetLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:UpdateLogDelivery"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:SetRepositoryPolicy",
                "ecr:CompleteLayerUpload",
                "ecr:BatchDeleteImage",
                "ecr:UploadLayerPart",
                "ecr:DeleteRepositoryPolicy",
                "ecr:InitiateLayerUpload",
                "ecr:DeleteRepository",
                "ecr:PutImage"
            ],
            "Resource": "arn:aws:ecr:*:*:repository/*sagemaker*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "codecommit:GitPull",
                "codecommit:GitPush"
            ],
            "Resource": [
                "arn:aws:codecommit:*:*:*sagemaker*",
                "arn:aws:codecommit:*:*:*SageMaker*",
                "arn:aws:codecommit:*:*:*Sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:ListSecrets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:CreateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "robomaker:CreateSimulationApplication",
                "robomaker:DescribeSimulationApplication",
                "robomaker:DeleteSimulationApplication"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "robomaker:CreateSimulationJob",
                "robomaker:DescribeSimulationJob",
                "robomaker:CancelSimulationJob"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload",
                "s3:GetBucketCors",
                "s3:PutBucketCors"
            ],
            "Resource": [
                "arn:aws:s3:::*SageMaker*",
                "arn:aws:s3:::*Sagemaker*",
                "arn:aws:s3:::*sagemaker*",
                "arn:aws:s3:::*aws-glue*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:GetBucketLocation",
                "s3:ListBucket",
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "s3:ExistingObjectTag/SageMaker": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:*SageMaker*",
                "arn:aws:lambda:*:*:function:*sagemaker*",
                "arn:aws:lambda:*:*:function:*Sagemaker*",
                "arn:aws:lambda:*:*:function:*LabelingFunction*"
            ]
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "robomaker.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:Subscribe",
                "sns:CreateTopic"
            ],
            "Resource": [
                "arn:aws:sns:*:*:*SageMaker*",
                "arn:aws:sns:*:*:*Sagemaker*",
                "arn:aws:sns:*:*:*sagemaker*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "sagemaker.amazonaws.com",
                        "glue.amazonaws.com",
                        "robomaker.amazonaws.com",
                        "states.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Consentire agli utenti di visualizzare le loro autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Controlla la creazione di risorse SageMaker AI con le chiavi di condizione

Controlla l'accesso granulare per consentire la creazione di risorse SageMaker AI utilizzando chiavi di condizione specifiche per l' SageMaker intelligenza artificiale. Per informazioni sull'uso delle chiavi di condizione nelle policy IAM, consulta elementi della policy IAM JSON: condizione nella Guida per l'utente di IAM.

Le chiavi di condizione, le relative azioni API e i collegamenti alla documentazione pertinente sono elencati in Condition Keys for SageMaker AI nel Service Authorization Reference.

Gli esempi seguenti mostrano come utilizzare le chiavi di condizione SageMaker AI per controllare l'accesso.

Argomenti

Controlla l'accesso alle risorse SageMaker AI utilizzando le chiavi di condizione del file system
Limitazione dell’addestramento a un VPC specifico
Limitazione dell’accesso ai tipi di forza lavoro per i processi di etichettatura Ground Truth e i flussi di lavoro di revisione umana Amazon A2I
Applicazione della crittografia dei dati di input
Applicazione dell’isolamento di rete per i job di addestramento
Applicazione di un tipo di istanza specifico per i job di addestramento
Applicazione della disabilitazione dell’accesso a Internet e dell’accesso root per la creazione di istanze del notebook

Controlla l'accesso alle risorse SageMaker AI utilizzando le chiavi di condizione del file system

SageMaker L'addestramento basato sull'intelligenza artificiale fornisce un'infrastruttura sicura in cui eseguire l'algoritmo di addestramento, ma in alcuni casi potresti aver bisogno di una difesa più approfondita. Ad esempio, riduci al minimo il rischio di eseguire codice non attendibile nell'algoritmo oppure disponi di mandati di sicurezza specifici nell'organizzazione. Per questi scenari, puoi utilizzare le chiavi di condizione specifiche del servizio nell’elemento Condizione di una policy IAM per limitare l’ambito dell’utente a:

file system specifici
directory
modalità di accesso (solo scrittura, solo lettura)
gruppi di sicurezza

Argomenti

Limitazione per un utente IAM a specifiche directory e modalità di accesso
Limitazione di un utente a un file system specifico

Limitazione per un utente IAM a specifiche directory e modalità di accesso

La seguente politica limita un utente alle directory /sagemaker/xgboost-dm/train e alle /sagemaker/xgboost-dm/validation directory di un file system EFS ro (sola lettura): AccessMode

Nota

Quando una directory è consentita, tutte le sue sottodirectory sono accessibili anche dall'algoritmo di addestramento. Le autorizzazioni POSIX vengono ignorate.

Limitazione di un utente a un file system specifico

Per evitare che un algoritmo dannoso che utilizza un client dello spazio utente acceda a qualsiasi file system direttamente nel tuo account, puoi limitare il traffico di rete. Per farlo, consenti l’ingresso solo da un gruppo di sicurezza specifico. Nell'esempio seguente, l'utente può utilizzare solo il gruppo di sicurezza specificato per accedere al file system:

Questo esempio può limitare un algoritmo a un file system specifico. Tuttavia, non impedisce a un algoritmo di accedere a qualsiasi directory all’interno del file system utilizzando il client dello spazio utente. Per mitigare questo problema, puoi:

Assicurarti che il file system contenga solo i dati a cui ritieni che gli utenti possano accedere
Crea un ruolo IAM che impedisca agli utenti di avviare processi di addestramento con algoritmi da repository ECR approvati

Per ulteriori informazioni su come utilizzare i ruoli con l' SageMaker intelligenza artificiale, consulta AI Roles. SageMaker

Limitazione dell’addestramento a un VPC specifico

Limita un AWS utente alla creazione di lavori di formazione dall'interno di un Amazon VPC. Quando un job di addestramento viene creato all’interno di un VPC, utilizza i log del flusso VPC per monitorare tutto il traffico da e verso il cluster di addestramento. Per informazioni sull'utilizzo dei log di flusso VPC, consulta Log di flusso VPC nella Guida per l'utente di Amazon Virtual Private Cloud.

L’applicazione della policy seguente impone che un processo di addestramento venga creato da un utente chiamando CreateTrainingJob dall'interno di un VPC:

Limitazione dell’accesso ai tipi di forza lavoro per i processi di etichettatura Ground Truth e i flussi di lavoro di revisione umana Amazon A2I

I team di lavoro di Amazon SageMaker Ground Truth e Amazon Augmented AI rientrano in tre tipi di forza lavoro:

pubblico (con Amazon Mechanical Turk)
private
fornitore

Puoi limitare l’accesso degli utenti a un team di lavoro specifico utilizzando uno di questi tipi o l’ARN del team di lavoro. A tale scopo, usa i tasti sagemaker:WorkteamType and/or di sagemaker:WorkteamArn condizione. Per la chiave di sagemaker:WorkteamType condizione, utilizza gli operatori di condizione stringa. Per la chiave di condizione sagemaker:WorkteamArn, utilizza gli operatori di condizione nome della risorsa Amazon (ARN). Se l'utente tenta di creare un processo di etichettatura con un team di lavoro limitato, SageMaker AI restituisce un errore di accesso negato.

Le policy riportate di seguito illustrano diversi modi per utilizzare le chiavi di condizione sagemaker:WorkteamType e sagemaker:WorkteamArn con gli operatori di condizione appropriati e i valori di condizione validi.

Nell'esempio seguente viene utilizzata la chiave di condizione sagemaker:WorkteamType con l'operatore di condizione StringEquals per limitare l'accesso a un team di lavoro pubblico. Accetta i valori delle condizioni nel seguente formato:workforcetype-crowd, where workforcetype can equal publicprivate, ovendor.

Le policy seguenti mostrano come limitare l'accesso a un team di lavoro pubblico utilizzando la chiave di condizione sagemaker:WorkteamArn. La prima mostra come usare una variante regex IAM valida dell'ARN del team di lavoro e l'operatore di condizione ArnLike. La seconda mostra come usare l'operatore di condizione ArnEquals e l'ARN del team di lavoro.

Applicazione della crittografia dei dati di input

La seguente politica limita a un utente la possibilità di specificare una AWS KMS chiave per crittografare i dati di input utilizzando la chiave sagemaker:VolumeKmsKey condition durante la creazione:

addestramento
ottimizzazione degli iperparametri
processi di etichettatura

Applicazione dell’isolamento di rete per i job di addestramento

La policy seguente limita un utente ad abilitare l'isolamento di rete durante la creazione di processi di addestramento utilizzando la chiave di condizione sagemaker:NetworkIsolation:

Applicazione di un tipo di istanza specifico per i job di addestramento

La policy seguente limita un utente a utilizzare un tipo di istanza specifico durante la creazione di processi di addestramento utilizzando la chiave di condizione sagemaker:InstanceTypes:

Applicazione della disabilitazione dell’accesso a Internet e dell’accesso root per la creazione di istanze del notebook

Puoi disabilitare l'accesso a Internet e l'accesso root alle istanze del notebook per renderle più sicure. Per informazioni sul controllo dell’accesso root all’istanza del notebook, consulta Controlla l'accesso root a un'istanza di notebook SageMaker . Per informazioni su come disabilitare l’accesso a Internet per un’istanza del notebook, consulta Connessione di un'istanza del notebook in un VPC a risorse esterne.

La policy seguente richiede che un utente disabiliti l'accesso alla rete durante la creazione dell'istanza o disabiliti l'accesso principale durante la creazione o l'aggiornamento di un'istanza del notebook.

Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità

Per controllare l'accesso alle chiamate API SageMaker AI e alle chiamate agli endpoint ospitati dall' SageMaker IA, utilizza politiche IAM basate sull'identità.

Argomenti

Limita l'accesso all'API SageMaker AI e il runtime delle chiamate dall'interno del tuo VPC

Limita l'accesso all'API SageMaker AI e il runtime delle chiamate dall'interno del tuo VPC

Se configuri un endpoint di interfaccia nel tuo VPC, le persone esterne al VPC possono connettersi all'API AI ed eseguire SageMaker l'esecuzione su Internet. Per evitarlo, collega una policy IAM che limiti l’accesso alle chiamate provenienti dall’interno del VPC. Queste chiamate devono essere limitate a tutti gli utenti e i gruppi che hanno accesso alle tue SageMaker risorse AI. Per informazioni sulla creazione di un endpoint di interfaccia VPC per l'API SageMaker AI e il runtime, consulta. Connettiti all' SageMaker IA all'interno del tuo VPC

Importante

Se applichi una policy IAM simile a una delle seguenti, gli utenti non possono accedere all' SageMaker IA specificata APIs tramite la console.

Per limitare l’accesso alle sole connessioni effettuate dall’interno del VPC, crea una policy AWS Identity and Access Management che limiti l’accesso. L’accesso deve essere limitato alle sole chiamate che provengono dall’interno del tuo VPC. Quindi aggiungi quella policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'API o al runtime SageMaker AI.

Nota

Questa policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.

Per limitare l’accesso all’API alle sole chiamate effettuate con l’endpoint di interfaccia, utilizza la chiave di condizione aws:SourceVpce anziché aws:SourceVpc:

Limita l'accesso all'API SageMaker AI e alle chiamate di runtime in base all'indirizzo IP

Puoi consentire l'accesso alle chiamate API SageMaker AI e alle chiamate di runtime solo dagli indirizzi IP in un elenco specificato. A tale scopo, crea una policy IAM che neghi l’accesso all’API a meno che la chiamata non provenga da un indirizzo IP nell’elenco. Quindi collega tale policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'API o al runtime. Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella AWS Identity and Access Management Guida per l'utente di IAM.

Per specificare l’elenco di indirizzi IP che hanno accesso alla chiamata API, utilizza:

Operatore di condizione IpAddress
Chiave del contesto di condizione aws:SourceIP

Per informazioni sugli operatori di condizione IAM, consulta Elementi della policy JSON di IAM: operatori di condizione nella Guida per l'utente di AWS Identity and Access Management . Per ulteriori informazioni sulle chiavi di contesto della condizione IAM, consulta Chiavi di contesto delle condizioni globali AWS.

Ad esempio, la seguente policy consente l'accesso a CreateTrainingJob solo dagli indirizzi IP negli intervalli 192.0.2.0-192.0.2.255 e 203.0.113.0-203.0.113.255:

Limitazione dell’accesso a un’istanza del notebook in base all’indirizzo IP

Puoi consentire l’accesso a un’istanza del notebook solo dagli indirizzi IP di un elenco specificato. A tale scopo, crea una policy IAM che neghi l’accesso a CreatePresignedNotebookInstanceUrl a meno che la chiamata non provenga da un indirizzo IP nell’elenco. Quindi, collega questa policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'istanza del notebook. Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella AWS Identity and Access Management Guida per l'utente di IAM.

Per specificare l’elenco di indirizzi IP a cui vuoi concedere l’accesso all’istanza del notebook, utilizza:

Operatore di condizione IpAddress
Chiave del contesto di condizione aws:SourceIP

Ad esempio, la seguente policy consente l'accesso a un'istanza del notebook solo da indirizzi IP negli intervalli 192.0.2.0-192.0.2.255 e 203.0.113.0-203.0.113.255:

La policy limita l'accesso alla chiamata a CreatePresignedNotebookInstanceUrl e all'URL restituito dalla chiamata. La policy limita, inoltre, l'accesso all'apertura di un'istanza notebook nella console. Viene applicata per ogni richiesta HTTP e WebSocket frame che tenta di connettersi all'istanza del notebook.

Nota

L'utilizzo di questo metodo per filtrare in base all'indirizzo IP è incompatibile quando ci si connette all' SageMaker IA tramite un endpoint di interfaccia VPC. . Per informazioni sulla limitazione dell'accesso a un'istanza del notebook durante la connessione tramite un endpoint VPC di interfaccia, consulta Connessione a un'istanza del notebook tramite un endpoint VPC di interfaccia.

Controlla l'accesso alle risorse SageMaker AI utilizzando i tag

Specificate i tag all'interno di una policy IAM per controllare l'accesso a gruppi di risorse SageMaker AI. Utilizza i tag per implementare il controllo degli accessi basato su attributi (ABAC). L'utilizzo dei tag consente di partizionare l'accesso alle risorse a gruppi specifici di utenti. Puoi avere un team con accesso a un gruppo di risorse e un team diverso con accesso a un altro set di risorse. Puoi fornire ResourceTag condizioni nelle policy IAM per fornire l'accesso a ciascun gruppo.

Nota

Le policy basate su tag non vanno bene per limitare le seguenti chiamate API:

DeleteImageVersion
DescribeImageVersion
ListAlgorithms
ListCodeRepositories
ListCompilationJobs
ListEndpointConfigs
ListEndpoints
ListFlowDefinitions
ListHumanTaskUis
ListHyperparameterTuningJobs
ListLabelingJobs
ListLabelingJobsForWorkteam
ListModelPackages
ListModels
ListNotebookInstanceLifecycleConfigs
ListNotebookInstances
ListSubscribedWorkteams
ListTags
ListProcessingJobs
ListTrainingJobs
ListTrainingJobsForHyperParameterTuningJob
ListTransformJobs
ListWorkteams
Cerca

Un semplice esempio può aiutarti a capire come utilizzare i tag per partizionare le risorse. Supponiamo di aver definito due diversi gruppi IAM, denominati DevTeam1 eDevTeam2, nel tuo AWS account. Hai creato anche 10 istanze del notebook. Stai utilizzando 5 istanze del notebook per un progetto. Stai usando le altre 5 per un secondo progetto. Puoi fornire a DevTeam1 le autorizzazioni per effettuare chiamate API sulle istanze del notebook che stai utilizzando per il primo progetto. Puoi consentire a DevTeam2 di effettuare chiamate API sulle istanze del notebook utilizzate per il secondo progetto.

La procedura seguente fornisce un semplice esempio che aiuta a comprendere il concetto di aggiunta di tag. È possibile utilizzarlo per implementare la soluzione descritta nel paragrafo precedente.

Per controllare l'accesso alle chiamate API (esempio)

Aggiungere un tag con la chiave Project e il valore A alle istanze del notebook utilizzate per il primo progetto. Per informazioni sull'aggiunta di tag alle risorse SageMaker AI, consulta AddTags.
Aggiungere un tag con la chiave Project e il valore B alle istanze del notebook utilizzate per il secondo progetto.

Crea una policy IAM con una condizione ResourceTag che neghi l’accesso alle istanze del notebook utilizzate per il secondo progetto. Quindi, collega la policy a DevTeam1. La policy di esempio seguente rifiuta tutte le chiamate API su qualsiasi istanza del notebook che ha un tag con una chiave Project e un valore B:

Per informazioni su come creare policy IAM e collegarle alle identità, consulta Controllo dell'accesso tramite le policy nella Guida per l'utente di AWS Identity and Access Management .

Crea una policy IAM con una condizione ResourceTag che neghi l’accesso alle istanze del notebook utilizzate per il primo progetto. Quindi, collega la policy a DevTeam2. La policy di esempio seguente rifiuta tutte le chiamate API su qualsiasi istanza del notebook che ha un tag con una chiave Project e un valore A:

Fornisci le autorizzazioni per etichettare SageMaker le risorse AI

I tag sono etichette di metadati che puoi allegare a determinate risorse. AWS Un tag è costituito da una coppia chiave-valore che fornisce un modo flessibile per annotare le risorse con attributi di metadati per vari casi d’uso di tagging, tra cui:

cerca
sicurezza
attribuzione dei costi
controllo accessi
automazione

Possono essere utilizzati nelle autorizzazioni e nelle politiche, nelle quote di servizio e nelle integrazioni con altri servizi. AWS I tag possono essere definiti dall'utente o AWS generati durante la creazione di risorse. Se i tag sono personalizzati, vengono specificati manualmente da un utente, in caso contrario vengono generati automaticamente dal servizio AWS .

Tag definiti dall'utente nell' SageMaker intelligenza artificiale: gli utenti possono aggiungere tag quando creano risorse SageMaker AI utilizzando SageMaker SDKs la AWS CLI CLI SageMaker APIs SageMaker , la console AI o i modelli. CloudFormation

Nota
I tag definiti dall’utente possono essere sovrascritti se una risorsa viene successivamente aggiornata e il valore del tag viene modificato o sostituito. Ad esempio, un job di addestramento creato con {Team: A} potrebbe essere aggiornato in modo errato e ritaggato come {Team: B}. Di conseguenza, le autorizzazioni consentite potrebbero essere assegnate in modo errato. Occorre quindi prestare attenzione quando si consente agli utenti o ai gruppi di aggiungere tag, perché potrebbero sostituire i valori dei tag esistenti. È buona prassi stabilire limitazioni rigorose per le autorizzazioni dei tag e utilizzare le condizioni IAM per controllare le capacità di tagging.
AWS tag generati nell' SageMaker intelligenza artificiale: l' SageMaker IA etichetta automaticamente determinate risorse che crea. Ad esempio, Studio e Studio Classic assegnano automaticamente il sagemaker:domain-arn tag alle risorse di SageMaker intelligenza artificiale che creano. L'etichettatura di nuove risorse con il dominio ARN fornisce la tracciabilità della provenienza delle risorse di intelligenza artificiale SageMaker come lavori di formazione, modelli ed endpoint. Per un controllo e un monitoraggio più precisi, le nuove risorse ricevono tag aggiuntivi come:
- sagemaker:user-profile-arn: l’ARN del profilo utente che ha creato la risorsa. Questa operazione consente di tenere traccia delle risorse create da utenti specifici.
- sagemaker:space-arn: l’ARN dello spazio in cui è stata creata la risorsa. Questa operazione consente di raggruppare e isolare le risorse per ogni spazio.
Nota
AWS i tag generati non possono essere modificati dagli utenti.

Per informazioni generali sull'etichettatura AWS delle risorse e sulle migliori pratiche, consulta Etichettare le AWS risorse. Per informazioni sui principali casi d’uso di tagging, consulta Tagging use cases.

Concedi l'autorizzazione ad aggiungere tag durante la creazione SageMaker di risorse AI

Puoi consentire agli utenti (tag definiti dall'utente) o a Studio e Studio Classic (tag AWS generati) di aggiungere tag alle nuove risorse SageMaker AI al momento della creazione. A tal fine, le autorizzazioni IAM devono includere:

L'autorizzazione di creazione SageMaker AI di base per quel tipo di risorsa.
L’autorizzazione sagemaker:AddTags.

Ad esempio, consentire a un utente di creare un lavoro di SageMaker formazione e di etichettarlo richiederebbe la concessione di autorizzazioni per sagemaker:CreateTrainingJob e. sagemaker:AddTags

Importante

Le politiche IAM personalizzate che consentono ad Amazon SageMaker Studio o Amazon SageMaker Studio Classic di creare risorse Amazon SageMaker AI devono inoltre concedere le autorizzazioni per aggiungere tag a tali risorse. L’autorizzazione per aggiungere tag alle risorse è necessaria perché Studio e Studio Classic applicano automaticamente tag a tutte le risorse che creano. Se una policy IAM consente a Studio e Studio Classic di creare risorse ma non consente l'aggiunta di tag, possono verificarsi errori AccessDenied "" durante il tentativo di creare risorse.

AWS politiche gestite per Amazon SageMaker AIche forniscono le autorizzazioni per creare risorse SageMaker AI includono già le autorizzazioni per aggiungere tag durante la creazione di tali risorse.

Gli amministratori assegnano queste autorizzazioni IAM a uno di questi ruoli:

AWS Ruoli IAM assegnati all'utente per i tag definiti dall'utente
Ruolo di esecuzione utilizzato da Studio o Studio Classic per i tag generati da AWS

Per istruzioni sulla creazione e l’applicazione di policy IAM personalizzate, consulta Creazione di policy IAM (console).

Nota

L'elenco delle operazioni di creazione di risorse SageMaker AI è disponibile nella documentazione dell'SageMaker API cercando le azioni che iniziano conCreate. Queste azioni di creazione, come CreateTrainingJob eCreateEndpoint, sono le operazioni che creano nuove risorse di SageMaker intelligenza artificiale.

Aggiunta di autorizzazioni dei tag a determinate azioni di creazione

Per concedere l’autorizzazione sagemaker:AddTags con vincoli, collega una policy IAM aggiuntiva alla policy di creazione delle risorse originale. La politica di esempio seguente consentesagemaker:AddTags, ma la limita solo a determinate risorse di SageMaker intelligenza artificiale, di creare azioni comeCreateTrainingJob.


{
  "Sid": "AllowAddTagsForCreateOperations",
  "Effect": "Allow",
  "Action": [
    "sagemaker:AddTags"
  ],
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "sagemaker:TaggingAction": "CreateTrainingJob"
    }
  }
}

La condizione della policy limita l’utilizzo di sagemaker:AddTags solo in combinazione con specifiche azioni di creazione. In questo approccio, la policy di autorizzazione di creazione rimane invariata mentre una policy aggiuntiva fornisce un accesso limitato a sagemaker:AddTags. Questa condizione impedisce l’autorizzazione generalizzata di sagemaker:AddTags, limitandola esclusivamente alle azioni di creazione che richiedono tag. Ciò implementa il privilegio minimo sagemaker:AddTags consentendolo solo per casi d'uso specifici per la creazione di risorse di SageMaker intelligenza artificiale.

Esempio: consenti l’autorizzazione dei tag a livello globale e limita le azioni di creazione a un dominio

In questo esempio di policy IAM personalizzata, le prime due istruzioni illustrano l’utilizzo dei tag per monitorare la creazione di risorse. Consente l’azione sagemaker:CreateModel su tutte le risorse e il tagging di tali risorse quando viene utilizzata l’azione. La terza istruzione mostra come utilizzare i valori dei tag per controllare le operazioni sulle risorse. In questo caso, impedisce la creazione di risorse SageMaker AI etichettate con un ARN di dominio specifico, limitando l'accesso in base al valore del tag.

In particolare:

La prima istruzione consente l’azione CreateModel su qualsiasi risorsa (*).
La seconda istruzione consente l’azione sagemaker:AddTags, ma solo quando la chiave di condizione sagemaker:TaggingAction è uguale a CreateModel. Questo limita l’azione sagemaker:AddTags, che può essere utilizzata solo per etichettare un modello appena creato.
La terza affermazione nega qualsiasi azione di creazione dell' SageMaker IA (Create*) su qualsiasi risorsa (*), ma solo quando la risorsa ha un tag sagemaker:domain-arn uguale a un domain-arn ARN di dominio specifico,.


{
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:CreateModel"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "sagemaker:AddTags"
         ],
         "Resource":"*",
         "Condition":{
            "String":{
               "sagemaker:TaggingAction":[
                  "CreateModel"
               ]
            }
         }
      },
      {
         "Sid":"IsolateDomain",
         "Effect":"Deny",
         "Resource":"*",
         "Action":[
            "sagemaker:Create*"
         ],
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/sagemaker:domain-arn":"domain-arn"
            }
         }
      }
   ]
}

Limitazione dell’accesso alle risorse ricercabili con condizioni di visibilità

Utilizza le condizioni di visibilità per limitare l'accesso dei tuoi utenti a risorse taggate specifiche all'interno di un AWS account. Gli utenti possono accedere solo alle risorse per le quali dispongono delle autorizzazioni. Quando gli utenti effettuano ricerche nelle proprie risorse, possono limitare i risultati della ricerca a risorse specifiche.

Potresti volere che i tuoi utenti vedano e interagiscano solo con le risorse associate a domini Amazon SageMaker Studio o Amazon SageMaker Studio Classic specifici. Puoi utilizzare le condizioni di visibilità per limitare l’accesso a uno o più domini.



{
    "Sid": "SageMakerApis",
    "Effect": "Allow",
    "Action": "sagemaker:Search", 
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Regione AWS:111122223333:domain/example-domain-1",
            "sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Regione AWS:111122223333:domain/example-domain-2"
        }
    }
}

Il formato generale di una condizione di visibilità è "sagemaker:SearchVisibilityCondition/Tags.key": "value". Puoi fornire la coppia chiave-valore per qualsiasi risorsa taggata.



{
   "MaxResults": number,
   "NextToken": "string",
   "Resource": "string", # Required Parameter
   "SearchExpression": { 
      "Filters": [ 
         { 
            "Name": "string",
            "Operator": "string",
            "Value": "string"
         }
      ],
      "NestedFilters": [ 
         { 
            "Filters": [ 
               { 
                  "Name": "string",
                  "Operator": "string",
                  "Value": "string"
               }
            ],
            "NestedPropertyName": "string"
         }
      ],
      "Operator": "string",
      "SubExpressions": [ 
         "SearchExpression"
      ]
   },
   "IsCrossAccount": "string",
   "VisibilityConditions" : [ List of conditions for visibility
         {"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Regione AWS:111122223333:domain/example-domain-1"},
         {"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Regione AWS:111122223333:domain/example-domain-2"}
]
   ],
   "SortBy": "string",
   "SortOrder": "string"
}

La condizione di visibilità contenuta al suo interno utilizza la stessa formattazione "sagemaker:SearchVisibilityCondition/Tags.key": "value" specificata nella policy. I tuoi utenti possono specificare le coppie chiave-valore utilizzate per qualsiasi risorsa taggata.

Se un utente include il parametro VisibilityConditions nella richiesta di ricerca, ma la policy di accesso applicabile all’utente non contiene alcuna chiave di condizione corrispondente specificata in VisibilityConditions, la richiesta Search viene comunque consentita ed eseguita.

Se un parametro VisibilityConditions non è specificato nella richiesta dell’API di ricerca dell’utente, ma la policy di accesso applicabile all’utente contiene chiavi di condizione relative a VisibilityConditions, la richiesta Search dell’utente viene rifiutata.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Come funziona Amazon SageMaker AI con IAM

Prevenzione del problema "confused deputy" tra servizi