Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So SageMaker arbeitet Amazon mit IAM
Wichtig
Benutzerdefinierte IAM Richtlinien, die es Amazon SageMaker Studio oder Amazon SageMaker Studio Classic ermöglichen, SageMaker Amazon-Ressourcen zu erstellen, müssen auch Berechtigungen zum Hinzufügen von Tags zu diesen Ressourcen gewähren. Die Genehmigung zum Hinzufügen von Tags zu Ressourcen ist erforderlich, da Studio und Studio Classic automatisch alle von ihnen erstellten Ressourcen taggen. Wenn eine IAM Richtlinie Studio und Studio Classic das Erstellen von Ressourcen, aber kein Taggen erlaubt, können "AccessDenied" Fehler auftreten, wenn versucht wird, Ressourcen zu erstellen. Weitere Informationen finden Sie unter Stellen Sie Berechtigungen für das Taggen von Ressourcen SageMaker bereit.
AWS Verwaltete Richtlinien für Amazon SageMakerdie Berechtigungen zum Erstellen von SageMaker Ressourcen gewähren, beinhalten bereits Berechtigungen zum Hinzufügen von Tags beim Erstellen dieser Ressourcen.
Bevor Sie IAM den Zugriff auf verwalten SageMaker, sollten Sie sich darüber im Klaren sein, welche IAM Funktionen zur Verfügung stehen SageMaker. Um einen allgemeinen Überblick darüber zu erhalten, wie SageMaker und welche AWS Dienste funktionieren mitIAM, siehe AWS Dienste, mit denen funktioniert, finden Sie IAM in der Serviceautorisierungsreferenz.
Identitätsbasierte SageMaker-Richtlinien
Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zugelassen oder verweigert werden. SageMaker unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden, finden Sie unter IAMJSONPolicy Elements Reference in der Service Authorization Reference.
Aktionen
Administratoren können verwenden AWS JSONRichtlinien, um festzulegen, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Das Action Element einer JSON Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie die zugehörigen AWS APIBetrieb. Es gibt einige Ausnahmen, z. B. Aktionen, für die nur Berechtigungen erforderlich sind und für die es keine entsprechende Operation gibt. API Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.
Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix SageMaker verwendet:. sagemaker: Um beispielsweise jemandem die Erlaubnis zu erteilen, zusammen mit der SageMaker CreateTrainingJob API Operation einen SageMaker Schulungsjob auszuführen, nehmen Sie die sagemaker:CreateTrainingJob Aktion in die entsprechende Richtlinie auf. Richtlinienerklärungen müssen Action entweder ein NotAction Oder-Element enthalten. SageMaker definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
"Action": [ "sagemaker:action1", "sagemaker:action2" ]
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:
"Action": "sagemaker:Describe*"
Eine Liste der SageMaker Aktionen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon SageMaker in der Service Authorization Reference.
Ressourcen
SageMaker unterstützt die Angabe von Ressourcen ARNs in einer Richtlinie nicht.
Bedingungsschlüssel
Administratoren können Folgendes verwenden AWS JSONRichtlinien, um festzulegen, wer Zugriff auf was hat. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Das Element Condition (oder Condition block) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.
Wenn Sie mehrere Condition Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition Element angeben, AWS wertet sie mithilfe einer logischen AND Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Sie können einem IAM Benutzer beispielsweise nur dann Zugriff auf eine Ressource gewähren, wenn sie mit seinem IAM Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.
AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Um alle zu sehen AWS globale Bedingungsschlüssel finden Sie unter AWS Kontexttasten für globale Bedingungen im IAMBenutzerhandbuch.
SageMaker definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Um alles zu sehen AWS globale Bedingungsschlüssel finden Sie unter AWS Kontextschlüssel für globale Bedingungen in der Serviceautorisierungsreferenz.
SageMaker unterstützt eine Reihe von dienstspezifischen Bedingungsschlüsseln, die Sie für eine differenzierte Zugriffskontrolle für die folgenden Operationen verwenden können:
Eine Liste der SageMaker Bedingungsschlüssel finden Sie unter Bedingungsschlüssel für Amazon SageMaker in der Service Authorization Reference. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Von Amazon definierte Aktionen SageMaker.
Beispiele für die Verwendung von SageMaker Bedingungsschlüsseln finden Sie im Folgenden:Steuern Sie die Erstellung von SageMaker Ressourcen mit Bedingungsschlüsseln.
Beispiele
Beispiele für SageMaker identitätsbasierte Richtlinien finden Sie unter. Beispiele für SageMaker identitätsbasierte Richtlinien von Amazon
SageMaker Ressourcenbasierte Richtlinien
SageMaker unterstützt keine ressourcenbasierten Richtlinien.
Autorisierung auf der Basis von SageMaker -Tags
Sie können Tags an SageMaker Ressourcen anhängen oder Tags in einer Anfrage an übergeben. SageMaker Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel sagemaker:ResourceTag/, key-nameaws:RequestTag/, oder Bedingung key-nameaws:TagKeys verwenden. Weitere Informationen zum Markieren von SageMaker Ressourcen finden Sie unterSteuern Sie den Zugriff auf SageMaker Ressourcen mithilfe von Tags.
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter Steuern Sie den Zugriff auf SageMaker Ressourcen mithilfe von Tags.
SageMaker IAMRollen
Eine IAMRolle ist eine Entität innerhalb Ihres AWS Konto mit bestimmten Berechtigungen.
Temporäre Anmeldeinformationen verwenden mit SageMaker
Sie können temporäre Anmeldeinformationen verwenden, um sich bei einem Verband anzumelden, eine IAM Rolle zu übernehmen oder eine kontoübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie anrufen AWS STS APIOperationen wie AssumeRoleoder GetFederationToken.
SageMaker unterstützt die Verwendung temporärer Anmeldeinformationen.
Serviceverknüpfte Rollen
SageMaker unterstützt teilweise dienstbezogene Rollen. Serviceverknüpfte Rollen sind derzeit für SageMaker Studio Classic verfügbar.
Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein IAM Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
SageMaker unterstützt Servicerollen.
Auswahl einer IAM Rolle in SageMaker
Wenn Sie eine Notebook-Instance, einen Verarbeitungsjob, einen Schulungsjob, einen gehosteten Endpunkt oder eine Jobressource im Batch-Transformationsmodus erstellen SageMaker, müssen Sie eine Rolle auswählen, SageMaker auf SageMaker die Sie in Ihrem Namen zugreifen können. Wenn Sie zuvor eine Servicerolle oder eine mit einem Dienst verknüpfte Rolle erstellt haben, wird SageMaker Ihnen eine Liste mit Rollen angezeigt, aus denen Sie wählen können. Es ist wichtig, dass Sie eine Rolle wählen, die den Zugriff auf die AWS Operationen und Ressourcen, die Sie benötigen. Weitere Informationen finden Sie unter Wie verwendet man SageMaker Ausführungsrollen.
