Mengontrol Akses ke Sumber Daya Amazon ML-dengan IAM - Amazon Machine Learning
Sintaks Kebijakan IAMMenentukan Tindakan Kebijakan IAM untuk Amazon MlaMazonMenentukan ARN untuk Sumber Daya Amazon MLdalam Kebijakan IAMContoh Kebijakan untuk Amazon MLs

Kami tidak lagi memperbarui layanan Amazon Machine Learning atau menerima pengguna baru untuk itu. Dokumentasi ini tersedia untuk pengguna yang sudah ada, tetapi kami tidak lagi memperbaruinya. Untuk informasi selengkapnya, lihatApa itu Amazon Machine Learning.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengontrol Akses ke Sumber Daya Amazon ML-dengan IAM

AWS Identity and Access Management(IAM) memungkinkan Anda mengontrol akses ke layanan AWS dan sumber daya secara aman bagi pengguna Anda. Dengan menggunakan IAM, Anda dapat membuat dan mengelola pengguna AWS, grup, peran, serta menggunakan izin untuk mengizinkan dan menolak akses mereka ke sumber daya AWS. Dengan menggunakan IAM dengan Amazon Machine Learning (Amazon ML), Anda dapat mengontrol apakah pengguna dalam organisasi Anda dapat menggunakan sumber daya AWS tertentu dan apakah mereka dapat melakukan tugas menggunakan Tindakan API Amazon MLL.

IAM memungkinkan Anda untuk:

  • Buat pengguna dan grup di bawah akun AWS Anda.

  • Tetapkan kredensial keamanan unik untuk setiap pengguna di bawah akun AWS Anda

  • Kontrol setiap izin pengguna untuk melakukan tugas menggunakan sumber daya AWS

  • Bagikan sumber daya AWS Anda dengan mudah dengan pengguna di akun AWS Anda

  • Buat peran untuk akun AWS Anda dan kelola izinnya untuk menentukan pengguna atau layanan yang dapat mengambil peran tersebut

  • Anda dapat membuat peran dalam IAM dan mengelola izin untuk mengontrol operasi mana yang dapat dilakukan oleh entitas, atau layanan AWS, yang mengasumsikan peran tersebut. Anda juga dapat menentukan entitas mana yang diizinkan untuk mengambil peran.

Jika organisasi Anda sudah memiliki identitas IAM, Anda dapat menggunakannya untuk memberikan izin untuk melakukan tugas menggunakan sumber daya AWS.

Untuk informasi lebih lanjut tentang IAM, lihat Panduan Pengguna IAM.

Sintaks Kebijakan IAM

kebijakan IAM adalah dokumen JSON yang terdiri dari satu atau beberapa pernyataan. Setiap pernyataan memiliki struktur sebagai berikut: 

{
    "Statement":[{
        "Effect":"effect",
        "Action":"action",
        "Resource":"arn",
        "Condition":{
            "condition operator":{
                "key":"value"
            }
        }
    }]
}

Sebuah pernyataan kebijakan mencakup elemen-elemen berikut:

  • Efek:Mengontrol izin untuk menggunakan sumber daya dan tindakan API yang akan Anda tentukan nanti dalam pernyataan. Nilai yang valid adalah Allow dan Deny. Secara default, para pengguna IAM tidak memiliki izin untuk menggunakan sumber daya dan tindakan API, jadi semua permintaan akan ditolak. EksplisitAllowmengesampingkan default. EksplisitDenymengesampingkanAllows.

  • Action: Tindakan API tertentu atau tindakan yang Anda izinkan atau tolak.

  • Resource: Sumber daya yang dipengaruhi oleh tindakan. Untuk menentukan sumber daya dalam pernyataan, gunakan Amazon Resource Name (ARN).

  • Kondisi (opsional): Kontrol ketika kebijakan Anda akan berlaku.

Untuk menyederhanakan pembuatan dan pengelolaan kebijakan IAM, Anda dapat menggunakan AWS Policy Generator dan IAM Policy Simulator.

Menentukan Tindakan Kebijakan IAM untuk Amazon MlaMazon

Dalam sebuah pernyataan kebijakan IAM, Anda dapat menentukan tindakan API untuk layanan apa pun yang mendukung IAM. Saat Anda membuat pernyataan kebijakan untuk tindakan Amazon MLAPI, tambahkanmachinelearning:dengan nama tindakan API, seperti yang ditunjukkan dalam contoh berikut:

  • machinelearning:CreateDataSourceFromS3

  • machinelearning:DescribeDataSources

  • machinelearning:DeleteDataSource

  • machinelearning:GetDataSource

Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma: 

"Action": ["machinelearning:action1", "machinelearning:action2"]

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard. Misalnya, Anda dapat menentukan semua tindakan yang namanya dimulai dengan kata “Get”:

"Action": "machinelearning:Get*"

Untuk menentukan semua tindakan Amazon Amazon, gunakan wildcard:

"Action": "machinelearning:*"

Untuk daftar lengkap tindakan Amazon MLAPI, lihatReferensi API Amazon Machine Learning.

Menentukan ARN untuk Sumber Daya Amazon MLdalam Kebijakan IAM

Pernyataan kebijakan IAM berlaku untuk satu sumber daya atau lebih. Anda menentukan sumber daya untuk kebijakan Anda berdasarkan ARN mereka.

Untuk menentukan ARN untuk sumber daya Amazon Amazon, gunakan format berikut:

“Sumber daya”:arn:aws:machinelearning:region:account:resource-type/identifier

Contoh-contoh berikut menunjukkan cara menentukan ARN umum.

ID Sumber Data:my-s3-datasource-id 


"Resource":
arn:aws:machinelearning:<region>:<your-account-id>:datasource/my-s3-datasource-id

ID model ML:my-ml-model-id 


"Resource":
arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/my-ml-model-id

ID prediksi Batch:my-batchprediction-id 


"Resource":
arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/my-batchprediction-id

ID evaluasi:my-evaluation-id 


"Resource": arn:aws:machinelearning:<region>:<your-account-id>:evaluation/my-evaluation-id

Contoh Kebijakan untuk Amazon MLs

Contoh 1: Memungkinkan pengguna membaca metadata sumber daya machine learning

Kebijakan berikut ini memungkinkan pengguna atau grup membaca metadata sumber data, model MS, prediksi batch, dan evaluasi dengan melakukanDescribeDataSources,DescribeMLModels,DescribeBatchPredictions,DescribeEvaluations,GetDataSource,GetMLModel,GetBatchPrediction, danGetEvaluationtindakan pada sumber daya yang ditentukan. Izin operasi Jelaskan * tidak dapat dibatasi pada sumber daya tertentu.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:Get*"
        ],
        "Resource": [
            "arn:aws:machinelearning:<region>:<your-account-id>:datasource/S3-DS-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:datasource/REDSHIFT-DS-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/BP-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:evaluation/EV-ID1"
        ]
    },
    {
        "Effect": "Allow",
        "Action": [
            "machinelearning:Describe*"
        ],
        "Resource": [
            "*"
        ]
    }]
}

Contoh 2: Memungkinkan pengguna membuat sumber daya pembelajaran mesin

Kebijakan berikut memungkinkan pengguna atau grup untuk membuat sumber data machine learning, model ML, prediksi batch, dan evaluasi dengan melakukanCreateDataSourceFromS3,CreateDataSourceFromRedshift,CreateDataSourceFromRDS,CreateMLModel,CreateBatchPrediction, danCreateEvaluationtindakan. Anda tidak dapat membatasi izin untuk tindakan ini ke sumber daya tertentu. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:CreateDataSourceFrom*",
            "machinelearning:CreateMLModel",
            "machinelearning:CreateBatchPrediction",
            "machinelearning:CreateEvaluation"
        ],
        "Resource": [
            "*"
        ]
    }]
}

Contoh 3: Memungkinkan pengguna untuk membuat dan menghapus) endpoint real-time dan melakukan prediksi real-time pada model ML

Kebijakan berikut memungkinkan pengguna atau grup untuk membuat dan menghapus titik akhir waktu nyata dan melakukan prediksi waktu nyata untuk model ML tertentu dengan melakukanCreateRealtimeEndpoint,DeleteRealtimeEndpoint, danPredicttindakan pada model itu. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:CreateRealtimeEndpoint",
            "machinelearning:DeleteRealtimeEndpoint",
            "machinelearning:Predict"
        ],
        "Resource": [
            "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL"
        ]
    }]
}

Contoh 4: Memungkinkan pengguna untuk memperbarui dan menghapus sumber daya tertentu

Kebijakan berikut memungkinkan pengguna atau grup untuk memperbarui dan menghapus sumber daya tertentu di akun AWS Anda dengan memberi mereka izin untuk melakukanUpdateDataSource,UpdateMLModel,UpdateBatchPrediction,UpdateEvaluation,DeleteDataSource,DeleteMLModel,DeleteBatchPrediction, danDeleteEvaluationtindakan pada sumber daya tersebut di akun Anda. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:Update*",
            "machinelearning:DeleteDataSource",
            "machinelearning:DeleteMLModel",
            "machinelearning:DeleteBatchPrediction",
            "machinelearning:DeleteEvaluation"
        ],
        "Resource": [
            "arn:aws:machinelearning:<region>:<your-account-id>:datasource/S3-DS-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:datasource/REDSHIFT-DS-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/BP-ID1",
            "arn:aws:machinelearning:<region>:<your-account-id>:evaluation/EV-ID1"
        ]
    }]
}

Contoh 5: Izinkan Amazon MLAction apa pun

Kebijakan berikut mengizinkan pengguna atau grup menggunakan tindakan Amazon Amazon Amazon. Karena kebijakan ini memberikan akses penuh ke semua sumber daya machine learning Anda, batasi hanya untuk administrator. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "machinelearning:*"
        ],
        "Resource": [
            "*"
        ]
    }]
}