Fonctionnement d'Amazon SageMaker avec IAM - Amazon SageMaker

Fonctionnement d'Amazon SageMaker avec IAM

Avant d'utiliser IAM pour gérer l'accès à SageMaker, vous devez comprendre quelles sont les fonctions IAM disponibles à utiliser avec SageMaker. Pour obtenir une vue d'ensemble de la façon dont SageMaker et d'autres services AWS fonctionnent avec IAM, veuillez consulter Services AWS qui fonctionnent avec IAM dans le Guide de l'utilisateur IAM.

Stratégies basées sur l'identité SageMaker

Avec les politiques IAM basées sur l'identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. SageMaker prend en charge des actions, ressources et clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, veuillez consulter Références des éléments de politique JSON IAM dans le Guide de l'utilisateur IAM.

Actions

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C'est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'élément Action d'une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès à une politique. Les actions de politique possèdent généralement le même nom que l'opération d'API AWS associée. Il existe quelques exceptions, telles que les actions avec autorisations uniquement qui n'ont pas d'opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d'actions dans une politique afin d'accorder l'autorisation d'exécuter les opérations associées.

Les actions de politique dans SageMaker utilisent le préfixe suivant avant l'action : sagemaker:. Par exemple, pour accorder à une personne l'autorisation d'exécuter une tâche d'entraînement SageMaker avec l'opération d'API CreateTrainingJob SageMaker, incluez l'action sagemaker:CreateTrainingJob dans sa politique. Les déclarations de politique doivent inclure un élément Action ou NotAction. SageMaker définit son propre ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :

"Action": [ "sagemaker:action1", "sagemaker:action2" ]

Vous pouvez aussi spécifier plusieurs actions à l'aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l'action suivante :

"Action": "sagemaker:Describe*"

Pour afficher la liste des actions SageMaker, veuillez consulter Actions, ressources et clés de condition pour Amazon SageMaker dans Référence de l'autorisation de service.

Ressources

SageMaker ne prend pas en charge la spécification des ARN de ressource dans une politique.

Clés de condition

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C'est à dire, quel principal peut exécuter des actions, sur quelles ressources et dans quelles conditions.

L'élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu'une instruction est appliquée. L'élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l'aide d'une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l'instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d'espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l'autorisation d'accéder à une ressource uniquement si elle est balisée avec son nom d'utilisateur IAM. Pour plus d'informations, consultez Éléments d'une politique IAM : variables et identifications dans le Guide de l'utilisateur IAM.

AWS prend en charge les clés de condition globales et les clés de condition spécifiques à un service. Pour afficher toutes les clés de condition globales AWS, consultez Clés de contexte de condition globale AWS dans le Guide de l'utilisateur IAM.

SageMaker définit son propre ensemble de clés de condition et prend également en charge l'utilisation des clés de condition globales. Pour afficher toutes les clés de condition globales AWS, veuillez consulter la rubrique Clés de contexte de condition globale AWS dans le Guide de l'utilisateur IAM.

SageMaker prend en charge diverses clés de condition spécifiques au service que vous pouvez utiliser pour bénéficier d'un contrôle précis des accès pour les opérations suivantes :

Pour afficher une liste des clés de condition SageMaker, veuillez consulter Clés de condition pour Amazon SageMaker dans le Guide de l'utilisateur IAM. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, veuillez consulter Actions définies par Amazon SageMaker.

Pour obtenir des exemples d'utilisation des clés de condition SageMaker, veuillez consulter : Contrôle de la création des ressources SageMaker avec des clés de condition.

Exemples

Pour voir des exemples de politiques SageMaker basées sur l'identité, veuillez consulter Exemples de politiques basées sur l'identité Amazon SageMaker.

Stratégies basées sur les ressources SageMaker

SageMaker ne prend pas en charge les politiques basées sur les ressources.

Autorisation basée sur les balises SageMaker

Vous pouvez attacher des balises aux ressources SageMaker, ou transmettre des balises dans une demande à SageMaker. Pour contrôler l'accès basé sur des étiquettes, vous devez fournir les informations d'étiquette dans l'élément de condition d'une politique utilisant les clés de condition sagemaker:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys. Pour plus d'informations sur le balisage des ressources SageMaker, veuillez consulter Contrôle de l'accès aux ressources SageMaker à l'aide de balises.

Pour visualiser un exemple de politique basée sur l'identité permettant de limiter l'accès à une ressource en fonction des étiquettes de cette ressource, consultez Contrôle de l'accès aux ressources SageMaker à l'aide de balises.

Rôles IAM SageMaker

Un rôle IAM est une entité au sein de votre compte AWS qui dispose d'autorisations spécifiques.

Utilisation d'informations d'identification temporaires avec SageMaker

Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à l'aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d'API AWS STS comme AssumeRole ou GetFederationToken.

SageMaker prend en charge l'utilisation des informations d'identification temporaires.

Rôles liés à un service

SageMaker prend partiellement en charge les rôles liés à un service. Les rôles liés au service sont actuellement disponibles pour les tâches d'entraînement SageMaker Studio et SageMaker.

Rôles de service

Cette fonction permet à un service d'endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de service s'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.

SageMaker prend en charge les rôles de service.

Choix d'un rôle IAM dans SageMaker

Lorsque vous créez une instance de bloc-notes, une tâche de traitement, une tâche d'entraînement, un point de terminaison hébergé ou une ressource de tâche de transformation par lots dans SageMaker, vous devez choisir un rôle pour autoriser SageMaker à accéder à SageMaker en votre nom. Si vous avez déjà créé une fonction du service ou un rôle lié à un service, SageMaker vous fournit une liste de rôles dans laquelle effectuer votre choix. Il est important de choisir un rôle qui autorise l'accès aux opérations et ressources AWS dont vous avez besoin. Pour plus d'informations, consultez Rôles SageMaker.