Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques SageMaker basées sur l'identité d'Amazon
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier SageMaker des ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations. Pour savoir comment attacher des politiques à un utilisateur ou un groupe , veuillez consulter Ajout et suppression d'autorisations d'identité IAM dans le Guide de l'utilisateur IAM.
Pour savoir comment créer une politique basée sur l'identité IAM à l'aide de ces exemples de documents de politique JSON, consultez la section Création de politiques dans l'onglet JSON.
Rubriques
- Bonnes pratiques en matière de politiques
- Utilisation de la SageMaker console
- Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
- Contrôlez la création de SageMaker ressources à l'aide de clés de condition
- Contrôlez l'accès à l' SageMaker API à l'aide de politiques basées sur l'identité
- Limiter l'accès à SageMaker l'API et aux appels d'exécution par adresse IP
- Limiter l'accès à une instance de bloc-notes par adresse IP
- Contrôlez l'accès aux SageMaker ressources à l'aide de balises
- Fournir des autorisations pour le balisage des ressources SageMaker
- Limitez l'accès aux ressources consultables avec des conditions de visibilité
Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer SageMaker des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
-
Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez politiques gérées par AWS ou politiques gérées par AWS pour les activités professionnelles dans le Guide de l’utilisateur IAM.
-
Accorder les autorisations de moindre privilège : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d’informations sur l’utilisation de IAM pour appliquer des autorisations, consultez politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM.
-
Utiliser des conditions dans les politiques IAM pour restreindre davantage l’accès : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique AWS service, tel que AWS CloudFormation. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.
-
Utilisez IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles : IAM Access Analyzer valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez Validation de politique IAM Access Analyzer dans le Guide de l’utilisateur IAM.
-
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger le MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez Configuration de l’accès aux API protégé par MFA dans le Guide de l’utilisateur IAM.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.
Utilisation de la SageMaker console
Pour accéder à la SageMaker console Amazon, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives SageMaker aux ressources de votre AWS compte. Si vous créez une politique basée sur l'identité plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas correctement pour les entités dotées de cette politique. Cela inclut les utilisateurs ou les rôles concernés par cette politique.
Pour garantir que ces entités peuvent toujours utiliser la SageMaker console, vous devez également associer la politique AWS gérée suivante aux entités. Pour en savoir plus, consultez Ajouter des autorisations à un utilisateur dans le guide de l’utilisateur IAM.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
Rubriques
Autorisations requises pour utiliser la SageMaker console Amazon
Le tableau de référence des autorisations répertorie les opérations de SageMaker l'API Amazon et indique les autorisations requises pour chaque opération. Pour plus d'informations sur les opérations de SageMaker l'API Amazon, consultezAutorisations SageMaker d'API Amazon : référence sur les actions, les autorisations et les ressources.
Pour utiliser la SageMaker console Amazon, vous devez accorder des autorisations pour des actions supplémentaires. Plus précisément, la console a besoin d'autorisations qui autorisent les actions ec2 pour afficher les sous-réseaux, les VPC et les groupes de sécurité. Le cas échéant, la console nécessite l'autorisation de créer des rôles d'exécution pour des tâches telles que CreateNotebook, CreateTrainingJob et CreateModel. Accordez ces autorisations avec la politique d'autorisation suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "SageMakerApis", "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*" }, { "Sid": "VpcConfigurationForCreateForms", "Effect": "Allow", "Action": [ "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid":"KmsKeysForCreateForms", "Effect":"Allow", "Action":[ "kms:DescribeKey", "kms:ListAliases" ], "Resource":"*" }, { "Sid": "AccessAwsMarketplaceSubscriptions", "Effect": "Allow", "Action": [ "aws-marketplace:ViewSubscriptions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:ListRepositories", "codecommit:ListBranches", "secretsmanager:CreateSecret", "secretsmanager:DescribeSecret", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Sid":"ListAndCreateExecutionRoles", "Effect":"Allow", "Action":[ "iam:ListRoles", "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy" ], "Resource":"*" }, { "Sid": "DescribeECRMetaData", "Effect": "Allow", "Action": [ "ecr:Describe*" ], "Resource": "*" }, { "Sid": "PassRoleForExecutionRoles", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } } ] }
Autorisations requises pour utiliser la console Amazon SageMaker Ground Truth
Pour utiliser la console Amazon SageMaker Ground Truth, vous devez accorder des autorisations pour des ressources supplémentaires. Plus précisément, la console a besoin d'autorisations pour :
-
le AWS Marketplace pour consulter les abonnements,
-
Opérations Amazon Cognito pour gérer votre personnel privé
-
Actions Amazon S3 pour accéder à vos fichiers d'entrée et de sortie
-
AWS Lambda actions pour répertorier et invoquer des fonctions
Accordez ces autorisations avec la politique d'autorisation suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GroundTruthConsole", "Effect": "Allow", "Action": [ "aws-marketplace:DescribeListings", "aws-marketplace:ViewSubscriptions", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "groundtruthlabeling:DescribeConsoleJob", "groundtruthlabeling:ListDatasetObjects", "groundtruthlabeling:RunFilterOrSampleManifestJob", "groundtruthlabeling:RunGenerateManifestByCrawlingJob", "lambda:InvokeFunction", "lambda:ListFunctions", "s3:GetObject", "s3:PutObject", "s3:SelectObjectContent" ], "Resource": "*" } ] }
Autorisations requises pour utiliser la console Amazon Augmented AI (version préliminaire)
Pour utiliser la console Augmented AI, vous devez accorder des autorisations pour des ressources supplémentaires. Accordez ces autorisations avec la politique d'autorisation suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*Algorithm", "sagemaker:*Algorithms", "sagemaker:*App", "sagemaker:*Apps", "sagemaker:*AutoMLJob", "sagemaker:*AutoMLJobs", "sagemaker:*CodeRepositories", "sagemaker:*CodeRepository", "sagemaker:*CompilationJob", "sagemaker:*CompilationJobs", "sagemaker:*Endpoint", "sagemaker:*EndpointConfig", "sagemaker:*EndpointConfigs", "sagemaker:*EndpointWeightsAndCapacities", "sagemaker:*Endpoints", "sagemaker:*Environment", "sagemaker:*EnvironmentVersion", "sagemaker:*EnvironmentVersions", "sagemaker:*Environments", "sagemaker:*Experiment", "sagemaker:*Experiments", "sagemaker:*FlowDefinitions", "sagemaker:*HumanLoop", "sagemaker:*HumanLoops", "sagemaker:*HumanTaskUi", "sagemaker:*HumanTaskUis", "sagemaker:*HyperParameterTuningJob", "sagemaker:*HyperParameterTuningJobs", "sagemaker:*LabelingJob", "sagemaker:*LabelingJobs", "sagemaker:*Metrics", "sagemaker:*Model", "sagemaker:*ModelPackage", "sagemaker:*ModelPackages", "sagemaker:*Models", "sagemaker:*MonitoringExecutions", "sagemaker:*MonitoringSchedule", "sagemaker:*MonitoringSchedules", "sagemaker:*NotebookInstance", "sagemaker:*NotebookInstanceLifecycleConfig", "sagemaker:*NotebookInstanceLifecycleConfigs", "sagemaker:*NotebookInstanceUrl", "sagemaker:*NotebookInstances", "sagemaker:*ProcessingJob", "sagemaker:*ProcessingJobs", "sagemaker:*RenderUiTemplate", "sagemaker:*Search", "sagemaker:*SearchSuggestions", "sagemaker:*Tags", "sagemaker:*TrainingJob", "sagemaker:*TrainingJobs", "sagemaker:*TransformJob", "sagemaker:*TransformJobs", "sagemaker:*Trial", "sagemaker:*TrialComponent", "sagemaker:*TrialComponents", "sagemaker:*Trials", "sagemaker:*Workteam", "sagemaker:*Workteams" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sagemaker:*FlowDefinition" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:ListBranches", "codecommit:ListRepositories", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob", "glue:GetJobRun", "glue:GetJobRuns", "glue:GetJobs", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:GetLogEvents", "logs:PutLogEvents", "sns:ListTopics" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:DescribeResourcePolicies", "logs:GetLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:UpdateLogDelivery" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": "arn:aws:ecr:*:*:repository/*sagemaker*" }, { "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": [ "sagemaker.amazonaws.com", "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } } ] }
Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Contrôlez la création de SageMaker ressources à l'aide de clés de condition
Contrôlez l'accès détaillé pour permettre la création de SageMaker ressources à l'aide de clés de condition SageMaker spécifiques. Pour obtenir des informations sur l'utilisation de clés de condition dans des politiques IAM, veuillez consulter Éléments de politique JSON IAM : Condition dans le Guide de l'utilisateur IAM.
Les clés de condition, les actions d'API associées et les liens vers la documentation pertinente sont répertoriés dans les clés de SageMaker condition du guide de l'utilisateur IAM.
Les exemples suivants montrent comment utiliser les clés de SageMaker condition pour contrôler l'accès.
Rubriques
- Contrôlez l'accès aux SageMaker ressources à l'aide des clés de condition du système de fichiers
- Limiter la formation à un VPC spécifique
- Limitez l'accès aux types de main-d'œuvre pour les tâches d'étiquetage Ground Truth et les flux de travail Amazon A2I Human Review
- Appliquer le chiffrement des données d'entrée
- Appliquer le chiffrement du volume de stockage des instances du bloc-notes
- Appliquer l'isolation du réseau pour les tâches de formation
- Appliquer un type d'instance spécifique pour les tâches de formation
- Mettre en place un accélérateur IE spécifique pour les emplois de formation
- Appliquer la désactivation de l'accès Internet et de l'accès root pour créer des instances de blocs-notes
Contrôlez l'accès aux SageMaker ressources à l'aide des clés de condition du système de fichiers
SageMaker training fournit une infrastructure sécurisée dans laquelle l'algorithme d'entraînement peut s'exécuter, mais dans certains cas, vous souhaiterez peut-être renforcer votre défense en profondeur. Par exemple, vous minimisez le risque d'exécuter du code non approuvé dans votre algorithme ou vous avez des mandats de sécurité spécifiques dans votre organisation. Pour ces scénarios, vous pouvez utiliser les clés de condition spécifiques au service dans l'élément Condition d'une politique IAM pour limiter l'utilisateur à :
-
systèmes de fichiers spécifiques
-
annuaires
-
modes d'accès (lecture-écriture, lecture seule)
-
groupes de sécurité
Rubriques
Restreindre un utilisateur IAM à des annuaires et à des modes d'accès spécifiques
La politique suivante limite l'accès des utilisateurs aux /sagemaker/xgboost-dm/validation répertoires /sagemaker/xgboost-dm/train et d'un système de fichiers EFS à ro (lecture seule) : AccessMode
Note
Lorsqu'un répertoire est autorisé, tous ses sous-répertoires sont également accessibles par l'algorithme d'entraînement. Les autorisations POSIX sont ignorées.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessToElasticFileSystem", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateHyperParameterTuningJob" ], "Resource": "*", "Condition": { "StringEquals": { "sagemaker:FileSystemId": "fs-12345678", "sagemaker:FileSystemAccessMode": "ro", "sagemaker:FileSystemType": "EFS", "sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/train" } } }, { "Sid": "AccessToElasticFileSystemValidation", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateHyperParameterTuningJob" ], "Resource": "*", "Condition": { "StringEquals": { "sagemaker:FileSystemId": "fs-12345678", "sagemaker:FileSystemAccessMode": "ro", "sagemaker:FileSystemType": "EFS", "sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/validation" } } } ] }
Restreindre un utilisateur à un système de fichiers spécifique
Pour empêcher un algorithme malveillant utilisant un client de l'espace utilisateur d'accéder à un système de fichiers directement dans votre compte, vous pouvez restreindre le trafic réseau. Pour limiter ce trafic, autorisez l'entrée uniquement à partir d'un groupe de sécurité spécifique. Dans l'exemple suivant, l'utilisateur peut uniquement utiliser le groupe de sécurité spécifié pour accéder au système de fichiers :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessToLustreFileSystem", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateHyperParameterTuningJob" ], "Resource": "*", "Condition": { "StringEquals": { "sagemaker:FileSystemId": "fs-12345678", "sagemaker:FileSystemAccessMode": "ro", "sagemaker:FileSystemType": "FSxLustre", "sagemaker:FileSystemDirectoryPath": "/fsx/sagemaker/xgboost/train" }, "ForAllValues:StringEquals": { "sagemaker:VpcSecurityGroupIds": [ "sg-12345678" ] } } } ] }
Cet exemple peut restreindre un algorithme à un système de fichiers spécifique. Toutefois, cela n'empêche pas un algorithme d'accéder à n'importe quel répertoire de ce système de fichiers à l'aide du client de l'espace utilisateur. Pour pallier à cela, vous pouvez :
-
Vous assurer que le système de fichiers contient uniquement des données auxquelles vous autorisez vos utilisateurs à accéder
-
Créer un rôle IAM qui limite vos utilisateurs au lancement de tâches d'entraînement avec des algorithmes issus de référentiels ECR approuvés
Pour plus d'informations sur l'utilisation des rôles avec SageMaker, consultez la section SageMaker Rôles.
Limiter la formation à un VPC spécifique
Empêcher un AWS utilisateur de créer des tâches de formation depuis un Amazon VPC. Lorsqu'une tâche de formation est créée au sein d'un VPC, utilisez les journaux de flux VPC pour surveiller l'ensemble du trafic à destination et en provenance du cluster de formation. Pour obtenir des informations sur l'utilisation des journaux de flux VPC, veuillez consulter Journaux de flux VPC dans le Guide de l'utilisateur Amazon Virtual Private Cloud.
La politique suivante impose la création d'une tâche d'entraînement par un utilisateur appelant CreateTrainingJob depuis un VPC :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFromVpc", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateHyperParameterTuningJob" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "sagemaker:VpcSubnets": ["subnet-a1234"], "sagemaker:VpcSecurityGroupIds": ["sg12345", "sg-67890"] }, "Null": { "sagemaker:VpcSubnets": "false", "sagemaker:VpcSecurityGroupIds": "false" } } } ] }
Limitez l'accès aux types de main-d'œuvre pour les tâches d'étiquetage Ground Truth et les flux de travail Amazon A2I Human Review
Les équipes de travail Amazon SageMaker Ground Truth et Amazon Augmented AI appartiennent à l'un des trois types de personnel suivants :
-
public (avec Amazon Mechanical Turk)
-
privé
-
fournisseur
Vous pouvez restreindre l'accès des utilisateurs à une équipe de travail spécifique en utilisant l'un de ces types ou l'ARN de l'équipe de travail. Pour ce faire, utilisez les touches sagemaker:WorkteamType et/ou les touches de sagemaker:WorkteamArn condition. Pour la clé de condition sagemaker:WorkteamType, utilisez les opérateurs de condition de chaîne. Pour la clé de condition sagemaker:WorkteamArn, utilisez les opérateurs de condition Amazon Resource Name (ARN). Si l'utilisateur tente de créer une tâche d'étiquetage avec une équipe de travail restreinte, SageMaker renvoie un message d'erreur de refus d'accès.
Les politiques suivantes indiquent différentes manières d'utiliser les clés de sagemaker:WorkteamArn condition sagemaker:WorkteamType et avec des opérateurs de condition appropriés et des valeurs de condition valides.
L'exemple suivant utilise la clé de condition sagemaker:WorkteamType avec l'opérateur de condition StringEquals pour restreindre l'accès à une équipe de travail public. Il accepte les valeurs de condition dans le format suivant : workforcetype-crowdworkforcetype peut être égal public, private ou vendor.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictWorkteamType", "Effect": "Deny", "Action": "sagemaker:CreateLabelingJob", "Resource": "*", "Condition": { "StringEquals": { "sagemaker:WorkteamType": "public-crowd" } } } ] }
Les politiques suivantes montrent comment restreindre l'accès à une équipe de travail public à l'aide de la clé de condition sagemaker:WorkteamArn. Le premier montre comment l'utiliser avec une expression régulière IAM valide de l'ARN de l'équipe de travail et l'opérateur de condition ArnLike. La seconde montre comment l'utiliser avec l'opérateur de condition ArnEquals et l'ARN de l'équipe de travail.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictWorkteamType", "Effect": "Deny", "Action": "sagemaker:CreateLabelingJob", "Resource": "*", "Condition": { "ArnLike": { "sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*" } } } ] }
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictWorkteamType", "Effect": "Deny", "Action": "sagemaker:CreateLabelingJob", "Resource": "*", "Condition": { "ArnEquals": { "sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default" } } } ] }
Appliquer le chiffrement des données d'entrée
La politique suivante interdit à un utilisateur de spécifier une AWS KMS clé pour chiffrer les données d'entrée à l'aide de la clé de sagemaker:VolumeKmsKey condition lors de la création :
-
entraînement
-
réglage des hyperparamètres
-
travaux d'étiquetage
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceEncryption", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateHyperParameterTuningJob", "sagemaker:CreateLabelingJob", "sagemaker:CreateFlowDefiniton" ], "Resource": "*", "Condition": { "ArnEquals": { "sagemaker:VolumeKmsKey": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } } } ] }
Appliquer le chiffrement du volume de stockage des instances du bloc-notes
La politique suivante interdit à un utilisateur de spécifier une AWS KMS clé pour chiffrer le volume de stockage attaché à l'aide de la clé de sagemaker:VolumeKmsKey condition dans les cas suivants :
-
création d'une instance de bloc-notes
-
mise à jour d'une instance de carnet
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceEncryption", "Effect": "Allow", "Action": [ "sagemaker:CreateNotebookInstance" ], "Resource": "*", "Condition": { "ArnLike": { "sagemaker:VolumeKmsKey": "*key/volume-kms-key-12345" } } } ] }
Appliquer l'isolation du réseau pour les tâches de formation
La politique suivante impose à un utilisateur d'activer l'isolement du réseau lors de la création de tâches d'entraînement à l'aide de la clé de condition sagemaker:NetworkIsolation :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceIsolation", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateHyperParameterTuningJob" ], "Resource": "*", "Condition": { "Bool": { "sagemaker:NetworkIsolation": "true" } } } ] }
Appliquer un type d'instance spécifique pour les tâches de formation
La politique suivante impose à un utilisateur d'utiliser un type d'instance spécifique lors de la création de tâches d'entraînement à l'aide de la clé de condition sagemaker:InstanceTypes :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceInstanceType", "Effect": "Allow", "Action": [ "sagemaker:CreateTrainingJob", "sagemaker:CreateHyperParameterTuningJob" ], "Resource": "*", "Condition": { "ForAllValues:StringLike": { "sagemaker:InstanceTypes": ["ml.c5.*"] } } } ] }
Mettre en place un accélérateur IE spécifique pour les emplois de formation
La politique suivante interdit à un utilisateur d'utiliser un accélérateur d'inférence élastique (EI) spécifique, si un accélérateur est fourni, en utilisant la clé de sagemaker:AcceleratorTypes condition lorsque :
-
création d'instances de bloc-notes
-
mise à jour des instances du carnet
-
création de configurations de terminaux
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceAcceleratorType", "Effect": "Allow", "Action": [ "sagemaker:CreateNotebookInstance", "sagemaker:UpdateNotebookInstance", "sagemaker:CreateEndpointConfig" ], "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "sagemaker:AcceleratorTypes": ["ml.eia1.medium"] } } } ] }
Appliquer la désactivation de l'accès Internet et de l'accès root pour créer des instances de blocs-notes
Vous pouvez désactiver l'accès Internet et l'accès racine aux instances de bloc-notes pour mieux les sécuriser. Pour plus d'informations sur le contrôle de l'accès root à une instance de bloc-notes, consultezContrôler l'accès root à une instance de SageMaker bloc-notes. Pour plus d'informations sur la désactivation de l'accès à Internet pour une instance de bloc-notes, consultezConnecter une instance de bloc-notes dans un VPC à des ressources externes.
La politique suivante exige qu'un utilisateur désactive l'accès réseau lors de la création de l'instance, et désactive l'accès racine lors de la création ou de la mise à jour d'une instance de bloc-notes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LockDownCreateNotebookInstance", "Effect": "Allow", "Action": [ "sagemaker:CreateNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "sagemaker:DirectInternetAccess": "Disabled", "sagemaker:RootAccess": "Disabled" }, "Null": { "sagemaker:VpcSubnets": "false", "sagemaker:VpcSecurityGroupIds": "false" } } }, { "Sid": "LockDownUpdateNotebookInstance", "Effect": "Allow", "Action": [ "sagemaker:UpdateNotebookInstance" ], "Resource": "*", "Condition": { "StringEquals": { "sagemaker:RootAccess": "Disabled" } } } ] }
Contrôlez l'accès à l' SageMaker API à l'aide de politiques basées sur l'identité
Pour contrôler l'accès aux appels d' SageMaker API et aux appels aux points de terminaison SageMaker hébergés, utilisez des politiques IAM basées sur l'identité.
Limitez l'accès à SageMaker l'API et au runtime aux appels provenant de votre VPC
Si vous configurez un point de terminaison d'interface dans votre VPC, les personnes extérieures au VPC peuvent se connecter à l' SageMaker API et exécuter sur Internet. Pour éviter cela, associez une politique IAM qui restreint l'accès aux appels provenant du VPC. Ces appels doivent être limités à tous les utilisateurs et groupes ayant accès à vos SageMaker ressources. Pour plus d'informations sur la création d'un point de terminaison d'interface VPC pour l' SageMaker API et l'environnement d'exécution, consultez. Connectez-vous à SageMaker Within à votre VPC
Important
Si vous appliquez une politique IAM similaire à l'une des suivantes, les utilisateurs ne peuvent pas accéder aux SageMaker API spécifiées via la console.
Pour restreindre l'accès aux seules connexions établies depuis votre VPC, créez une AWS Identity and Access Management politique qui restreint l'accès. Cet accès doit être limité aux seuls appels provenant de votre VPC. Ajoutez ensuite cette politique à chaque AWS Identity and Access Management utilisateur, groupe ou rôle utilisé pour accéder à l' SageMaker API ou au runtime.
Note
Cette politique autorise les connexions uniquement pour les mandataires dans un sous-réseau où vous avez créé un point de terminaison d'interface.
{ "Id": "api-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "EnableAPIAccess", "Effect": "Allow", "Action": [ "sagemaker:*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-111bbaaa" } } } ] }
Pour restreindre l'accès à l'API aux seuls appels effectués à l'aide du point de terminaison de l'interface, utilisez la clé de aws:SourceVpce condition au lieu de aws:SourceVpc :
{ "Id": "api-example-1", "Version": "2012-10-17", "Statement": [ { "Sid": "EnableAPIAccess", "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedNotebookInstanceUrl" ], "Resource": "*", "Condition": { "StringEquals": { "aws:sourceVpce": [ "vpce-111bbccc", "vpce-111bbddd" ] } } } ] }
Limiter l'accès à SageMaker l'API et aux appels d'exécution par adresse IP
Vous pouvez autoriser l'accès aux appels d' SageMaker API et aux appels d'exécution uniquement à partir des adresses IP figurant dans une liste que vous spécifiez. Pour ce faire, créez une politique IAM qui refuse l'accès à l'API sauf si l'appel provient d'une adresse IP de la liste. Attachez ensuite cette politique à chaque AWS Identity and Access Management utilisateur, groupe ou rôle utilisé pour accéder à l'API ou à l'environnement d'exécution. Pour obtenir des informations sur la création de politiques IAM, veuillez consulter Création de politiques IAM dans le Guide de l'utilisateur AWS Identity and Access Management .
Pour spécifier la liste des adresses IP ayant accès à l'appel d'API, utilisez :
-
IpAddressopérateur de condition -
aws:SourceIPclé de contexte de condition
Pour obtenir des informations sur les opérateurs de condition IAM, veuillez consulter Éléments de politique JSON IAM : Opérateurs de condition dans le Guide de l'utilisateur AWS Identity and Access Management . Pour obtenir des informations sur les clés de contexte de condition IAM, veuillez consulter Clés de contexte de condition globale AWS.
Par exemple, la politique suivante autorise l'accès à CreateTrainingJob uniquement depuis des adresses IP dans les plages 192.0.2.0-192.0.2.255 et 203.0.113.0-203.0.113.255 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreateTrainingJob", "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } ] }
Limiter l'accès à une instance de bloc-notes par adresse IP
Vous pouvez autoriser l'accès à une instance de bloc-notes uniquement à partir des adresses IP figurant dans une liste que vous spécifiez. Pour ce faire, créez une politique IAM qui refuse l'accès à CreatePresignedNotebookInstanceUrlsauf si l'appel provient d'une adresse IP de la liste. Attachez ensuite cette politique à chaque AWS Identity and Access Management utilisateur, groupe ou rôle utilisé pour accéder à l'instance du bloc-notes. Pour obtenir des informations sur la création de politiques IAM, veuillez consulter Création de politiques IAM dans le Guide de l'utilisateur AWS Identity and Access Management .
Pour spécifier la liste des adresses IP auxquelles vous souhaitez accéder à l'instance de bloc-notes, utilisez :
-
IpAddressopérateur de condition -
aws:SourceIPclé de contexte de condition
Pour obtenir des informations sur les opérateurs de condition IAM, veuillez consulter Éléments de politique JSON IAM : Opérateurs de condition dans le Guide de l'utilisateur AWS Identity and Access Management . Pour obtenir des informations sur les clés de contexte de condition IAM, veuillez consulter Clés de contexte de condition globale AWS.
Par exemple, la politique suivante autorise l'accès à une instance de bloc-notes uniquement depuis des adresses IP dans les plages 192.0.2.0-192.0.2.255 et 203.0.113.0-203.0.113.255 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:CreatePresignedNotebookInstanceUrl", "Resource": "*", "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "203.0.113.0/24" ] } } } ] }
La politique restreint l'accès à l'appel vers CreatePresignedNotebookInstanceUrl et à l'URL renvoyée par l'appel. La stratégie restreint également l'accès pour ouvrir une instance bloc-notes dans la console. Il est appliqué à chaque requête et WebSocket trame HTTP qui tente de se connecter à l'instance du bloc-notes.
Note
L'utilisation de cette méthode pour filtrer par adresse IP est incompatible lors de la connexion SageMaker via un point de terminaison d'interface VPC. . Pour obtenir des informations sur la restriction d'accès à une instance de bloc-notes lors de la connexion via un point de terminaison d'interface VPC, consultez Connexion à une instance de bloc-notes via un point de terminaison d'interface VPC..
Contrôlez l'accès aux SageMaker ressources à l'aide de balises
Spécifiez des balises dans une politique IAM pour contrôler l'accès aux groupes de SageMaker ressources. Utilisez des balises pour mettre en œuvre le contrôle d'accès par attributs (ABAC). L'utilisation de balises vous permet de partitionner l'accès aux ressources entre des groupes d'utilisateurs spécifiques. Vous pouvez avoir une équipe ayant accès à un groupe de ressources et une autre équipe ayant accès à un autre ensemble de ressources. Vous pouvez fournir des conditions ResourceTag dans des politiques IAM pour fournir un accès à chaque groupe.
Note
Les politiques basées sur des balises ne peuvent pas restreindre les appels d'API suivants :
-
DeleteImageVersion
-
DescribeImageVersion
-
ListAlgorithms
-
ListCodeRepositories
-
ListCompilationJobs
-
ListEndpointConfigs
-
ListEndpoints
-
ListFlowDefinitions
-
ListHumanTaskUis
-
ListHyperparameterTuningJobs
-
ListLabelingJobs
-
ListLabelingJobsForWorkteam
-
ListModelPackages
-
ListModels
-
ListNotebookInstanceLifecycleConfigs
-
ListNotebookInstances
-
ListSubscribedWorkteams
-
ListTags
-
ListProcessingJobs
-
ListTrainingJobs
-
ListTrainingJobsForHyperParameterTuningJob
-
ListTransformJobs
-
ListWorkteams
-
Search
Un exemple simple peut vous aider à comprendre comment utiliser les balises pour partitionner les ressources. Supposons que vous ayez défini deux groupes IAM différents, nommés DevTeam1 etDevTeam2, dans votre AWS compte. Vous avez également créé 10 instances de bloc-notes. Vous utilisez 5 instances de bloc-notes pour un projet. Vous utilisez les 5 autres pour un second projet. Vous pouvez fournir à DevTeam1 des autorisations pour effectuer des appels d'API sur les instances de bloc-notes que vous utilisez pour le premier projet. Vous pouvez autoriser DevTeam2 à effectuer des appels d'API sur les instances de bloc-notes utilisées pour le second projet.
La procédure suivante fournit un exemple simple qui vous aidera à comprendre le concept d'ajout de balises. Vous pouvez l'utiliser pour implémenter la solution décrite dans le paragraphe précédent.
Pour contrôler l'accès aux appels d'API (exemple)
-
Ajoutez une balise avec la clé
Projectet la valeurAaux instances de bloc-notes utilisées pour le premier projet. Pour plus d'informations sur l'ajout de balises aux SageMaker ressources, consultezAddTags. -
Ajoutez une balise avec la clé
Projectet la valeurBaux instances de bloc-notes utilisées pour le second projet. -
Créez une politique IAM avec une
ResourceTagcondition qui refuse l'accès aux instances de bloc-notes utilisées pour le deuxième projet. Attachez ensuite cette politique àDevTeam1. L'exemple de politique suivant refuse tous les appels d'API sur toute instance de bloc-notes dont la cléProjectet la valeur sont lesBsuivantes :{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:*", "Resource": "*" }, { "Effect": "Deny", "Action": "sagemaker:*", "Resource": "*", "Condition": { "StringEquals": { "sagemaker:ResourceTag/Project": "B" } } }, { "Effect": "Deny", "Action": [ "sagemaker:AddTags", "sagemaker:DeleteTags" ], "Resource": "*" } ] }Pour obtenir des informations sur la création de politiques IAM et leur attachement à des identités, veuillez consulter Contrôle de l'accès à l'aide des politiques dans le Guide de l'utilisateur AWS Identity and Access Management .
-
Créez une politique IAM avec une
ResourceTagcondition qui refuse l'accès aux instances de bloc-notes utilisées pour le premier projet. Attachez ensuite cette politique àDevTeam2. L'exemple de politique suivant refuse tous les appels d'API sur toute instance de bloc-notes dont la cléProjectet la valeur sont lesAsuivantes :{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sagemaker:*", "Resource": "*" }, { "Effect": "Deny", "Action": "sagemaker:*", "Resource": "*", "Condition": { "StringEquals": { "sagemaker:ResourceTag/Project": "A" } } }, { "Effect": "Deny", "Action": [ "sagemaker:AddTags", "sagemaker:DeleteTags" ], "Resource": "*" } ] }
Fournir des autorisations pour le balisage des ressources SageMaker
Les balises sont des étiquettes de métadonnées que vous pouvez associer à certaines AWS ressources. Une balise se compose d'une paire clé-valeur qui fournit un moyen flexible d'annoter des ressources avec des attributs de métadonnées pour divers cas d'utilisation du balisage, notamment :
-
search
-
sécurité
-
contrôle d'accès
-
Automatisation
Ils peuvent être utilisés dans les autorisations et les politiques, les quotas de service et les intégrations avec d'autres AWS services. Les balises peuvent être définies par l'utilisateur ou AWS générées lors de la création de ressources. Cela dépend du fait qu'un utilisateur spécifie manuellement des balises personnalisées ou qu'un AWS service génère automatiquement une balise.
-
Balises définies par l'utilisateur dans SageMaker : les utilisateurs peuvent ajouter des balises lorsqu'ils créent des SageMaker ressources à l'aide des SageMaker SDK, de la AWS CLI CLI, des SageMaker API, de SageMaker la console ou AWS CloudFormation de modèles.
Note
Les balises définies par l'utilisateur peuvent être remplacées si une ressource est mise à jour ultérieurement et si la valeur de la balise est modifiée ou remplacée. Par exemple, une tâche de formation créée avec {Team : A} peut être incorrectement mise à jour et reétiquetée en tant que {Team : B}. Par conséquent, les autorisations autorisées peuvent être attribuées de manière incorrecte. Par conséquent, il convient de faire preuve de prudence lorsque vous autorisez des utilisateurs ou des groupes à ajouter des balises, car ils peuvent remplacer les valeurs des balises existantes. Il est recommandé de limiter étroitement les autorisations de balisage et d'utiliser les conditions IAM pour contrôler les capacités de balisage.
-
AWS tags générés dans SageMaker : SageMaker balise automatiquement certaines ressources qu'il crée. Par exemple, Studio et Studio Classic attribuent automatiquement la
sagemaker:domain-arnbalise aux SageMaker ressources qu'ils créent. Le balisage des nouvelles ressources à l'aide de l'ARN du domaine permet de suivre l'origine SageMaker des ressources telles que les tâches de formation, les modèles et les points de terminaison. Pour un contrôle et un suivi plus précis, les nouvelles ressources reçoivent des balises supplémentaires telles que :-
sagemaker:user-profile-arn- L'ARN du profil utilisateur qui a créé la ressource. Cela permet de suivre les ressources créées par des utilisateurs spécifiques. -
sagemaker:space-arn- L'ARN de l'espace dans lequel la ressource a été créée. Cela permet de regrouper et d'isoler les ressources par espace.
Note
AWS les balises générées ne peuvent pas être modifiées par les utilisateurs.
-
Pour obtenir des informations générales sur le balisage AWS des ressources et les meilleures pratiques, consultez la section Marquage de vos AWS ressources. Pour plus d'informations sur les principaux cas d'utilisation du balisage, consultez la section Cas d'utilisation du balisage.
Autoriser l'ajout de balises lors de la création de SageMaker ressources
Vous pouvez autoriser les utilisateurs (balises définies par l'utilisateur) ou Studio et Studio Classic (balises AWS générées) à ajouter des balises sur les nouvelles SageMaker ressources au moment de leur création. Pour ce faire, leurs autorisations IAM doivent inclure les deux éléments suivants :
-
Autorisation de SageMaker création de base pour ce type de ressource.
-
L'
sagemaker:AddTagsautorisation.
Par exemple, pour permettre à un utilisateur de créer une tâche de SageMaker formation et de l'étiqueter, il faudrait lui accorder des autorisations pour sagemaker:CreateTrainingJob etsagemaker:AddTags.
Important
Les politiques IAM personnalisées qui permettent à Amazon SageMaker Studio ou Amazon SageMaker Studio Classic de créer des SageMaker ressources Amazon doivent également accorder des autorisations pour ajouter des balises à ces ressources. L'autorisation d'ajouter des balises aux ressources est requise car Studio et Studio Classic balisent automatiquement toutes les ressources qu'ils créent. Si une politique IAM autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources.
AWS Politiques gérées pour Amazon SageMakerqui donnent des autorisations pour créer des SageMaker ressources incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.
Les administrateurs associent ces autorisations IAM à l'un des éléments suivants :
-
AWS Rôles IAM attribués à l'utilisateur pour les balises définies par l'utilisateur
-
le rôle d'exécution utilisé par Studio ou Studio Classic pour les balises AWS générées
Pour obtenir des instructions sur la création et l'application de stratégies IAM personnalisées, consultez la section Création de stratégies IAM (console).
Note
La liste des opérations de création de SageMaker ressources se trouve dans la documentation de l'SageMaker API en recherchant les actions commençant parCreate. Ces actions de création, telles que CreateTrainingJob etCreateEndpoint, sont les opérations qui créent de nouvelles SageMaker ressources.
Ajouter des autorisations de balise à certaines actions de création
Vous accordez l'sagemaker:AddTagsautorisation avec des contraintes en associant une politique IAM supplémentaire à la stratégie de création de ressources d'origine. L'exemple de politique suivant autorisesagemaker:AddTags, mais ne le limite qu'à certaines actions de création de SageMaker ressources, telles queCreateTrainingJob.
{ "Sid": "AllowAddTagsForCreateOperations", "Effect": "Allow", "Action": [ "sagemaker:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "sagemaker:TaggingAction": "CreateTrainingJob" } } }
La condition de politique sagemaker:AddTags se limite à être utilisée parallèlement à des actions de création spécifiques. Dans cette approche, la politique d'autorisation de création reste intacte tandis qu'une politique supplémentaire fournit un sagemaker:AddTags accès restreint. Cette condition empêche l'obtention sagemaker:AddTags d'une autorisation générale en la limitant aux actions de création nécessitant un balisage. Cela implémente le moindre privilège sagemaker:AddTags en ne l'autorisant que pour des cas d'utilisation spécifiques de création de SageMaker ressources.
Exemple : autoriser l'autorisation des balises à l'échelle mondiale et restreindre les actions de création à un domaine
Dans cet exemple de politique IAM personnalisée, les deux premières instructions illustrent l'utilisation de balises pour suivre la création de ressources. Il permet d'sagemaker:CreateModelagir sur toutes les ressources et de baliser ces ressources lorsque cette action est utilisée. La troisième déclaration montre comment les valeurs des balises peuvent être utilisées pour contrôler les opérations sur les ressources. Dans ce cas, cela empêche de créer des SageMaker ressources étiquetées avec un ARN de domaine spécifique, en limitant l'accès en fonction de la valeur de la balise.
En particulier :
-
La première instruction autorise l'
CreateModelaction sur n'importe quelle ressource (*). -
La deuxième instruction autorise l'
sagemaker:AddTagsaction, mais uniquement lorsque la clé desagemaker:TaggingActioncondition est égale àCreateModel. Cela limite l'sagemaker:AddTagsaction uniquement lorsqu'elle est utilisée pour étiqueter un modèle nouvellement créé. -
La troisième instruction refuse toute action SageMaker create (
Create*) sur une ressource (*), mais uniquement lorsque la ressource possède une balisesagemaker:domain-arnégale à un ARN de domaine spécifique,domain-arn
{ "Statement":[ { "Effect":"Allow", "Action":[ "sagemaker:CreateModel" ], "Resource":"*" }, { "Effect":"AllowTagging", "Action":[ "sagemaker:AddTags" ], "Resource":"*", "Condition":{ "String":{ "sagemaker:TaggingAction":[ "CreateModel" ] } } }, { "Sid":"IsolateDomain", "Effect":"Deny", "Resource":"*", "Action":[ "sagemaker:Create*" ], "Condition":{ "StringEquals":{ "aws:ResourceTag/sagemaker:domain-arn":"domain-arn" } } } ] }
Limitez l'accès aux ressources consultables avec des conditions de visibilité
Utilisez les conditions de visibilité pour limiter l'accès de vos utilisateurs à des ressources balisées spécifiques au sein d'un AWS compte. Vos utilisateurs ne peuvent accéder qu'aux ressources pour lesquelles ils sont autorisés. Lorsque vos utilisateurs effectuent des recherches dans leurs ressources, ils peuvent limiter les résultats de recherche à des ressources spécifiques.
Vous souhaiterez peut-être que vos utilisateurs ne voient et n'interagissent qu'avec les ressources associées à des domaines Amazon SageMaker Studio ou Amazon SageMaker Studio Classic spécifiques. Vous pouvez utiliser les conditions de visibilité pour limiter leur accès à un ou plusieurs domaines.
{ "Sid": "SageMakerApis", "Effect": "Allow", "Action": "sagemaker:Search", "Resource": "*", "Condition": { "StringEquals": { "sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Région AWS:111122223333:domain/example-domain-1", "sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Région AWS:111122223333:domain/example-domain-2" } } }
Le format général d'une condition de visibilité est"sagemaker:SearchVisibilityCondition/Tags.key": "value". Vous pouvez fournir la paire clé-valeur pour n'importe quelle ressource étiquetée.
{ "MaxResults": number, "NextToken": "string", "Resource": "string", # Required Parameter "SearchExpression": { "Filters": [ { "Name": "string", "Operator": "string", "Value": "string" } ], "NestedFilters": [ { "Filters": [ { "Name": "string", "Operator": "string", "Value": "string" } ], "NestedPropertyName": "string" } ], "Operator": "string", "SubExpressions": [ "SearchExpression" ] }, "IsCrossAccount": "string", "VisibilityConditions" : [ List of conditions for visibility {"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Région AWS:111122223333:domain/example-domain-1"}, {"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Région AWS:111122223333:domain/example-domain-2"} ] ], "SortBy": "string", "SortOrder": "string" }
La condition de visibilité interne utilise le même "sagemaker:SearchVisibilityCondition/Tags.key": "value" formatage que celui spécifié dans la politique. Vos utilisateurs peuvent spécifier les paires clé-valeur utilisées pour n'importe quelle ressource étiquetée.
Si un utilisateur inclut le VisibilityConditions paramètre dans sa demande de recherche, mais que la politique d'accès qui s'applique à cet utilisateur ne contient aucune clé de condition correspondante spécifiée dansVisibilityConditions, la Search demande est toujours autorisée et sera exécutée.
Si aucun VisibilityConditions paramètre n'est spécifié dans la demande d'API de recherche de l'utilisateur, mais que la politique d'accès qui s'applique à cet utilisateur contient des clés de condition associéesVisibilityConditions, la Search demande de cet utilisateur est refusée.
