Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo SageMaker funciona Amazon con IAM
importante
Las políticas de IAM personalizadas que permiten a Amazon SageMaker Studio o Amazon SageMaker Studio Classic crear SageMaker recursos de Amazon también deben conceder permisos para añadir etiquetas a esos recursos. El permiso para añadir etiquetas a los recursos es obligatorio porque Studio y Studio Classic etiquetan automáticamente todos los recursos que crean. Si una política de IAM permite a Studio y Studio Classic crear recursos, pero no permite el etiquetado, se pueden producir errores AccessDenied «» al intentar crear recursos. Para obtener más información, consulte Proporciona permisos para etiquetar SageMaker los recursos.
AWS Políticas gestionadas para Amazon SageMakerque otorgan permisos para crear SageMaker recursos ya incluyen permisos para añadir etiquetas al crear esos recursos.
Antes de utilizar IAM para gestionar el acceso SageMaker, debe saber con qué funciones de IAM se pueden utilizar. SageMaker Para obtener una visión general de cómo funcionan con IAM SageMaker y otros AWS servicios, consulte AWS Servicios que funcionan con IAM en la Guía del usuario de IAM.
Políticas de SageMaker basadas en identidades
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. SageMaker admite acciones, recursos y claves de condición específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte Referencia de los elementos de las políticas JSON de IAM en la Guía del usuario de IAM.
Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Action de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas SageMaker utilizan el siguiente prefijo antes de la acción:sagemaker:. Por ejemplo, para conceder permiso a alguien para realizar un trabajo de SageMaker formación con la operación de la SageMaker CreateTrainingJob API, debes incluir la sagemaker:CreateTrainingJob acción en su política. Las declaraciones de política deben incluir un NotAction elemento Action o. SageMaker define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
"Action": [ "sagemaker:action1", "sagemaker:action2" ]
Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe, incluya la siguiente acción:
"Action": "sagemaker:Describe*"
Para ver una lista de SageMaker acciones, consulta Acciones, recursos y claves de condición de Amazon SageMaker en la Referencia de autorización de servicio.
Recursos
SageMaker no admite la especificación de los ARN de los recursos en una política.
Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilicen operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulte Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
SageMaker define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
SageMaker admite una serie de claves de condición específicas del servicio que puede utilizar como control de acceso detallado para las siguientes operaciones:
Para ver una lista de claves de SageMaker condición, consulta Claves de condición de Amazon SageMaker en la Guía del usuario de IAM. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte Acciones definidas por Amazon SageMaker.
Para ver ejemplos del uso de claves de SageMaker condición, consulte lo siguiente:Controle la creación de SageMaker recursos con claves de condición.
Ejemplos
Para ver ejemplos de políticas SageMaker basadas en la identidad, consulte. Ejemplos de políticas SageMaker basadas en la identidad de Amazon
SageMaker Políticas basadas en recursos
SageMaker no admite políticas basadas en recursos.
Autorización basada en etiquetas de SageMaker
Puede adjuntar etiquetas a SageMaker los recursos o pasarles etiquetas en una solicitud. SageMaker Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición sagemaker:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys. Para obtener más información sobre el etiquetado de SageMaker recursos, consulteControle el acceso a SageMaker los recursos mediante etiquetas.
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte Controle el acceso a SageMaker los recursos mediante etiquetas.
SageMaker Funciones de IAM
Un rol de IAM es una entidad de tu AWS cuenta que tiene permisos específicos.
Uso de credenciales temporales con SageMaker
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como AssumeRoleo GetFederationToken.
SageMaker admite el uso de credenciales temporales.
Roles vinculados a servicios
SageMaker admite parcialmente las funciones vinculadas a los servicios. Los roles vinculados a servicios están disponibles actualmente para Studio Classic. SageMaker
Roles de servicio
Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
SageMaker admite funciones de servicio.
Elegir un rol de IAM en SageMaker
Al crear una instancia de cuaderno, un trabajo de procesamiento, un trabajo de formación, un punto final hospedado o un recurso de trabajo de transformación por lotes SageMaker, debe elegir un rol SageMaker al que permitir SageMaker el acceso en su nombre. Si ha creado anteriormente un rol de servicio o un rol vinculado a un servicio, le SageMaker proporciona una lista de roles entre los que puede elegir. Es importante elegir un rol que te permita acceder a AWS las operaciones y los recursos que necesitas. Para obtener más información, consulte Cómo utilizar las funciones SageMaker de ejecución.
