Steuern des Zugriffs auf Amazon ML-Ressourcen – mit IAM - Amazon Machine Learning
IAM-RichtliniensyntaxFestlegen von IAM-Richtlinienaktionen für Amazon MLAAmazon MLAngeben von ARNs für Amazon ML-Ressourcen in IAM-RichtlinienBeispielhafte Richtlinien für Amazon

Wir aktualisieren den Amazon Machine Learning Learning-Service nicht mehr und akzeptieren keine neuen Benutzer mehr dafür. Diese Dokumentation ist für bestehende Benutzer verfügbar, wir aktualisieren sie jedoch nicht mehr. Weitere Informationen finden Sie unterWas Amazon Machine Learning.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern des Zugriffs auf Amazon ML-Ressourcen – mit IAM

Mit AWS Identity and Access Management (IAM) können Sie den Zugriff auf AWS-Services und -Ressourcen für Ihre Benutzer sicher steuern. AWS IAM spezifische Amazon ML-API-Aktionen.

Mit IAM haben Sie folgende Möglichkeiten:

  • Erstellen von Benutzern und Gruppen für Ihr AWS-Konto

  • Zuweisen eindeutiger Sicherheitsanmeldeinformationen zu jedem Benutzer in Ihrem AWS-Konto

  • Steuern der Berechtigungen der einzelnen Benutzer zum Durchführen von Aufgaben mit AWS-Ressourcen

  • Einfache Freigabe Ihrer AWS-Ressourcen unter den Benutzern Ihres AWS-Kontos

  • Erstellen von Rollen für Ihr AWS-Konto und Verwalten ihrer Berechtigungen, um festzulegen, welche Benutzer oder Services sie übernehmen können

  • Sie können Rollen in IAM erstellen und Berechtigungen verwalten, um zu steuern, welche Operationen von einer Entität oder einem AWS-Service mit der Rolle ausgeführt werden können. Sie können auch bestimmen, welcher Entität die Rolle zugeordnet werden darf.

Wenn Ihre Organisation bereits über IAM-Identitäten verfügt, können Sie diese für die Gewährung von Berechtigungen zur Ausführung von Aufgaben mit AWS-Ressourcen verwenden.

Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch.

IAM-Richtliniensyntax

Eine IAM-Richtlinie ist ein JSON-Dokument, das eine oder mehrere Anweisungen enthält. Jeder Anweisung hat die folgende Struktur: 

{
    "Statement":[{
        "Effect":"effect",
        "Action":"action",
        "Resource":"arn",
        "Condition":{
            "condition operator":{
                "key":"value"
            }
        }
    }]
}

Eine Richtlinienanweisung umfasst die folgenden Elemente:

  • Wirkung: Steuert die Berechtigung zur Verwendung von Ressourcen und API-Aktionen, die Sie später in der Anweisung angeben. Gültige Werte sind Allow und Deny. IAM-Benutzer verfügen standardmäßig nicht über die Berechtigung zur Verwendung von Ressourcen und API-Aktionen. Daher werden alle Anfragen abgelehnt. Der Standardwert wird durch eine explizite Erlaubnis (Allow) überschrieben. Eine explizite Verweigerung (Deny) überschreibt alle Erlaubnisse (Allows).

  • Aktion: Die spezifische API-Aktion oder -Aktionen, für die Sie Berechtigungen erteilen oder verweigern.

  • Ressource: Die von einer Aktion betroffene Ressource. Um eine Ressource in der Anweisung anzugeben, verwenden Sie deren Amazon-Ressourcennamen (ARN).

  • Conditions (optional): Steuert, wann Ihre Richtlinie in Kraft tritt.

Um das Erstellen und Verwalten von IAM-Richtlinien zu vereinfachen, können Sie den AWS Policy Generator und den IAM Policy Simulator verwenden.

Festlegen von IAM-Richtlinienaktionen für Amazon MLAAmazon ML

In einer IAM-Richtlinienanweisung können Sie eine API-Aktion für jeden Service, der IAM unterstützt, angeben. Beim Erstellen einer Richtlinienanweisung für Amazonmachinelearning:auf den Namen der API-Aktion, wie in den folgenden Beispielen dargestellt:

  • machinelearning:CreateDataSourceFromS3

  • machinelearning:DescribeDataSources

  • machinelearning:DeleteDataSource

  • machinelearning:GetDataSource

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: 

"Action": ["machinelearning:action1", "machinelearning:action2"]

Sie können auch mehrere Aktionen mittels Platzhaltern angeben. Beispielsweise können Sie alle Aktionen festlegen, deren Name mit dem Wort "Get" beginnt:

"Action": "machinelearning:Get*"

Um alle Amazon

"Action": "machinelearning:*"

Eine vollständige Liste der AmazonAmazon Machine Learning.

Angeben von ARNs für Amazon ML-Ressourcen in IAM-Richtlinien

IAM-Richtlinienerklärungen gelten für eine oder mehrere Ressourcen. Ressourcen für Ihre Richtlinien werden mit ihren ARNs angegeben.

Um die ARNs für Amazon

"Ressource": arn:aws:machinelearning:region:account:resource-type/identifier

Die folgenden Beispiele zeigen, wie Sie allgemeine ARNs angeben.

Datenquellen-ID: my-s3-datasource-id 


"Resource":
arn:aws:machinelearning:<region>:<your-account-id>:datasource/my-s3-datasource-id

ML-Modell-ID: my-ml-model-id 


"Resource":
arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/my-ml-model-id

Stapelvoraussage-ID: my-batchprediction-id 


"Resource":
arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/my-batchprediction-id

Evaluierungs-ID: my-evaluation-id 


"Resource": arn:aws:machinelearning:<region>:<your-account-id>:evaluation/my-evaluation-id

Beispielhafte Richtlinien für Amazon

Beispiel 1: Benutzern ermöglichen, Metadaten von Ressourcen für maschinelles Lernen zu lesen

Die folgende Richtlinie ermöglicht es einem Benutzer oder einer Gruppe, die Metadaten von Datenquellen, ML-Modellen, Batch-Vorhersagen und Auswertungen zu lesen, indemDescribeDataSources,DescribeMLModels,DescribeBatchPredictions,DescribeEvaluations,GetDataSource,GetMLModel,GetBatchPrediction, undGetEvaluationAktionen für die angegebene (n) Ressource (n). Die Describe *-Operationsberechtigungen können nicht auf eine bestimmte Ressource beschränkt werden.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:Get*"
        ],
        "Resource": [
            "arn:aws:machinelearning:<region>:<your-account-id>:datasource/S3-DS-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:datasource/REDSHIFT-DS-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/BP-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:evaluation/EV-ID1"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "machinelearning:Describe*"
        ],
        "Resource": [
            "*"
        ]
    }]
}

Beispiel 2: Benutzern das Erstellen von Ressourcen für maschinelles Lernen ermöglichen

Die folgende Richtlinie erlaubt es einem Benutzer oder einer Gruppe, Machine Learning-Datenquellen, ML-Modelle. Stapelvoraussagen und Evaluierungen durch Ausführung der CreateDataSourceFromS3-, CreateDataSourceFromRedshift-, CreateDataSourceFromRDS-, CreateMLModel-, CreateBatchPrediction- und CreateEvaluation-Aktionen zu erstellen. Sie können die Berechtigungen für diese Aktionen nicht auf eine bestimmte Ressource einschränken. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:CreateDataSourceFrom*",
            "machinelearning:CreateMLModel",
            "machinelearning:CreateBatchPrediction",
            "machinelearning:CreateEvaluation"
        ],
        "Resource": [
            "*"
        ]
    }]
}

Beispiel 3: Benutzer können Echtzeit-Endpunkte erstellen (und löschen) und Vorhersagen in Echtzeit für ein ML-Modell durchführen

Die folgende Richtlinie erlaubt es Benutzern oder Gruppen, Echtzeitendpunkte zu erstellen und zu löschen sowie Echtzeitvoraussagen für ein bestimmtes ML-Modell zu generieren, indem sie CreateRealtimeEndpoint-, DeleteRealtimeEndpoint- und Predict-Aktionen für dieses Modell ausführen. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:CreateRealtimeEndpoint",
            "machinelearning:DeleteRealtimeEndpoint",
            "machinelearning:Predict"
        ],
        "Resource": [
            "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL"
        ]
    }]
}

Beispiel 4: Benutzern erlauben, bestimmte Ressourcen zu aktualisieren und zu löschen

Die folgende Richtlinie erlaubt es einem Benutzer oder einer Gruppe, bestimmte Ressourcen in Ihrem AWS-Konto zu aktualisieren oder zu löschen, indem die Berechtigungen zum Ausführen von UpdateDataSource-, UpdateMLModel-, UpdateBatchPrediction-, UpdateEvaluation-, DeleteDataSource-, DeleteMLModel-, DeleteBatchPrediction- und DeleteEvaluation-Aktionen für diese Ressourcen in Ihrem Konto gewährt werden. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:Update*",
            "machinelearning:DeleteDataSource",
            "machinelearning:DeleteMLModel",
            "machinelearning:DeleteBatchPrediction",
            "machinelearning:DeleteEvaluation"
        ],
        "Resource": [
            "arn:aws:machinelearning:<region>:<your-account-id>:datasource/S3-DS-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:datasource/REDSHIFT-DS-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/BP-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:evaluation/EV-ID1"
        ]
    }]
}

Beispiel 5: Beliebige Amazon MLaction zulassen

Mit der folgenden Richtlinie können Benutzer oder Gruppen jede beliebige Amazon Da diese Richtlinie vollen Zugriff auf alle Ihre Ressourcen für maschinelles Lernen gewährt, sollten Sie sie auf Administratoren beschränken. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:*"
        ],
        "Resource": [
            "*"
        ]
    }]
}