Gestione degli accessi ad Amazon Braket - Amazon Braket

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione degli accessi ad Amazon Braket

In questo capitolo vengono descritti i permessi necessari per eseguire.Amazon Braketo per limitare l'accesso di utenti e ruoli IAM specifici. Puoi concedere (o negare) le autorizzazioni richieste a qualsiasi utente o ruolo IAM nel tuo account. A questo proposito, collega l'appropriatoAmazon Braketcriterio per quell'utente o ruolo nell'account, come indicato in questo capitolo.

Come prerequisito, deviabilitare Amazon Braket. Per abilitareAmazon Braket, assicurarsi di accedere come utente o ruolo a cui (1) autorizzazioni di amministratore o (2) è assegnato ilAmazonBraketFullAccesspolicy e dispone delle autorizzazioni per creare bucket S3.

risorse AmazonBraket

Amazon Braketcrea un tipo di risorsa, che è ilattività quantisticarisorsa. Ecco la forma dell'ARN per quel tipo di risorsa:

  • Nome risorsa: AWS። Service። Braket

  • Regex ARN: arn: $ {Partition} :braket: $ {Region} :$ {Account} :quantum-task/$ {randomId}

Notebook e ruoli

I notebook sono un altro tipo di risorsa cheAmazon Braketutilizza per conto tuo. Un notebook è un notebookAmazon SageMaker risorsa, cheBraketè in grado di condividere. I notebook richiedono un ruolo IAM specifico per funzionare: un ruolo con un nome che inizia conAmazonBraketServiceSageMakerNotebook.

Per creare un blocco note, è necessario utilizzare un ruolo con le autorizzazioni di amministrazione o che abbia allegato il seguente criterio in linea.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateRole", "Resource": "arn:aws:iam::*:role/service-role/AmazonBraketServiceSageMakerNotebookRole-*" }, { "Effect": "Allow", "Action": "iam:CreatePolicy", "Resource": "arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookAccess-*" }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AmazonBraketServiceSageMakerNotebookRole-*", "Condition": { "StringLike": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AmazonBraketFullAccess", "arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookAccess-*" ] } } } ] }

Per creare il ruolo, segui i passaggi descritti inCreazione di un notebooko fai in modo che il tuo amministratore lo crei per te. Assicurarsi che il fileAmazonBraketFullAccessla politica è allegata.

Dopo aver creato il ruolo, puoi riutilizzare il ruolo per tutti i notebook che lanci in future.

Informazioni su AmazonBraketFullAccess informativa

LaAmazonBraketFullAccesspolicy concede le autorizzazioni perAmazon Braketoperazioni, incluse le autorizzazioni per queste attività:

  • AmazonRegistro contenitori elastici— per leggere e scaricare le immagini dei contenitori da utilizzareAmazon BraketFunzione Hybrid Job. I contenitori devono essere conformi al formato «arn:aws:ecr። :repository/amazon-braket»

  • KeepAWS CloudTrail registri— per tuttidescrivere,ottenere, elistaazioni, nonché avvio e arresto di query, test dei filtri delle metriche e filtraggio degli eventi di log. LaAWS CloudTrail il file di log contiene un record di tuttiAmazon Braket APIattività che si verifica nel tuo account.

  • Utilizzo di ruoli per controllare le risorse— per creare un ruolo collegato al servizio nel tuo account. Il ruolo collegato al servizio ha accesso aAWSrisorse per conto tuo. Può essere utilizzato solo daAmazon Braketservizio. Anche per passare i ruoli IAM alAmazon Braket CreateJob APIe per creare un ruolo e collegarvi una policy AmazonBraketFullAccess al ruolo.

  • Creare gruppi di log, eventi di log e gruppi di log di query. Gestisci i file di log di utilizzo per il tuo account— per creare, archiviare e visualizzare le informazioni di registrazioneAmazon Braketutilizzo nel tuo account. Metriche di query sui gruppi di log dei lavori. Comprende il giustoBraketpercorso e consente di inserire i dati di registro. Inserisci i dati metrici in CloudWatch.

  • Crea e archivia dati inAmazonbucket S3 ed elenca tutti i bucket— per creare bucket S3, elencare i bucket S3 nel tuo account e inserire oggetti e ottenere oggetti da qualsiasi bucket nel tuo account il cui nome iniziaamazzon-staffa-. Queste autorizzazioni sono richieste perAmazon Braketper inserire file contenenti i risultati delle attività elaborate nel bucket e recuperarli dal bucket.

  • Passaggio di ruoli IAM— per passare i ruoli IAM alCreateJob API.

  • Amazon SageMaker Quaderno— per creare e gestire SageMaker Istanze di notebook selezionate alla risorsa da «arn:aws:sagemaker። :notebook-instance/amazon-braket-»

Contenuti policy

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:CreateBucket",
                "s3:PutBucketPublicAccessBlock",
                "s3:PutBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::amazon-braket-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability"
            ],
            "Resource": "arn:aws:ecr:*:*:repository/amazon-braket*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr:GetAuthorizationToken"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/braket*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListRolePolicies",
                "iam:GetRole",
                "iam:GetRolePolicy",
                "iam:ListAttachedRolePolicies"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:ListNotebookInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:CreatePresignedNotebookInstanceUrl",
                "sagemaker:CreateNotebookInstance",
                "sagemaker:DeleteNotebookInstance",
                "sagemaker:DescribeNotebookInstance",
                "sagemaker:StartNotebookInstance",
                "sagemaker:StopNotebookInstance",
                "sagemaker:UpdateNotebookInstance",
                "sagemaker:ListTags",
                "sagemaker:AddTags",
                "sagemaker:DeleteTags"
            ],
            "Resource": "arn:aws:sagemaker:*:*:notebook-instance/amazon-braket-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeNotebookInstanceLifecycleConfig",
                "sagemaker:CreateNotebookInstanceLifecycleConfig",
                "sagemaker:DeleteNotebookInstanceLifecycleConfig",
                "sagemaker:ListNotebookInstanceLifecycleConfigs",
                "sagemaker:UpdateNotebookInstanceLifecycleConfig"
            ],
            "Resource": "arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/amazon-braket-*"
        },
        {
            "Effect": "Allow",
            "Action": "braket:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/braket.amazonaws.com/AWSServiceRoleForAmazonBraket*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "braket.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/AmazonBraketServiceSageMakerNotebookRole*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "sagemaker.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/service-role/AmazonBraketJobsExecutionRole*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": [
                        "braket.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:GetQueryResults"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:CreateLogStream",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/braket*"
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "/aws/braket"
                }
            }
        }
    ]
}

Informazioni su AmazonBraketJobsExecutionPolicy informativa

LaAmazonBraketJobsExecutionPolicypolicy concede le autorizzazioni per i ruoli di esecuzione utilizzati inAmazon BraketLavori ibride

  • AmazonRegistro contenitori elastici- autorizzazioni per leggere e scaricare le immagini del contenitore da utilizzareAmazon BraketFunzione Hybrid Job. I contenitori devono essere conformi al formato «arn:aws:ecr: *:*:repository/amazon-braket*»

  • Crea gruppi di log e registra eventi e gruppi di log di query. Gestisci i file di log di utilizzo per il tuo account— Creare, archiviare e visualizzare le informazioni di registrazioneAmazon Braketutilizzo nel tuo account. Metriche di query sui gruppi di log dei lavori. Comprende il giustoBraketpercorso e consente di inserire i dati di registro. Inserisci i dati metrici in CloudWatch.

  • Memorizzare i dati inAmazonBucket S3— elenca i bucket S3 nel tuo account, inserisci oggetti e ottieni oggetti da qualsiasi bucket nel tuo account che iniziaamazzon-staffa-nel suo nome. Queste autorizzazioni sono richieste perAmazon Braketper inserire nel bucket file contenenti i risultati delle attività elaborate e recuperarli dal bucket.

  • Passaggio di ruoli IAMpassare i ruoli IAM al CreateJob API. I ruoli devono essere conformi al formato arn:aws:iam። *:role/service-role/AmazonBraketJobsExecutionRole*.

	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"s3:GetObject",
				"s3:PutObject",
				"s3:ListBucket",
				"s3:CreateBucket",
				"s3:PutBucketPublicAccessBlock",
				"s3:PutBucketPolicy"
			],
			"Resource": "arn:aws:s3:::amazon-braket-*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ecr:GetDownloadUrlForLayer",
				"ecr:BatchGetImage",
				"ecr:BatchCheckLayerAvailability"
			],
			"Resource": "arn:aws:ecr:*:*:repository/amazon-braket*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ecr:GetAuthorizationToken"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"braket:CancelJob",
				"braket:CancelQuantumTask",
				"braket:CreateJob",
				"braket:CreateQuantumTask",
				"braket:GetDevice",
				"braket:GetJob",
				"braket:GetQuantumTask",
				"braket:SearchDevices",
				"braket:SearchJobs",
				"braket:SearchQuantumTasks",
				"braket:ListTagsForResource",
				"braket:TagResource",
				"braket:UntagResource"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::*:role/service-role/AmazonBraketJobsExecutionRole*",
			"Condition": {
				"StringLike": {
					"iam:PassedToService": [
						"braket.amazonaws.com"
					]
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:ListRoles"
			],
			"Resource": "arn:aws:iam::*:role/*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"logs:GetQueryResults"
			],
			"Resource": [
				"arn:aws:logs:*:*:log-group:*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"logs:PutLogEvents",
				"logs:CreateLogStream",
				"logs:CreateLogGroup",
				"logs:GetLogEvents",
				"logs:DescribeLogStreams",
				"logs:StartQuery",
				"logs:StopQuery"
			],
			"Resource": "arn:aws:logs:*:*:log-group:/aws/braket*"
		},
		{
			"Effect": "Allow",
			"Action": "cloudwatch:PutMetricData",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": "/aws/braket"
				}
			}
		}
	]
}

Limita l'accesso dell'utente a determinati dispositivi

Per limitare l'accesso per determinati utenti a determinatiAmazon Braketdispositivi, è possibile aggiungere unnegare autorizzazionipolicy per uno specifico ruolo IAM.

L'esempio seguente limita l'accesso a tutte le QPU per il fileAWSconto012345678901.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "braket:CreateQuantumTask", "braket:CancelQuantumTask", "braket:GetQuantumTask", "braket:SearchQuantumTasks", "braket:GetDevice", "braket:SearchDevices" ], "Resource": [ "arn:aws:braket:*:*:device/qpu/*" ] } ] }

Per adattare questo codice, sostituisci ilAmazonARN (Resource Name) del dispositivo con restrizioni per la stringa mostrata nell'esempio precedente. Questa stringa fornisce ilResource (Risorsa)value. Nello statoAmazon Braket, un dispositivo rappresenta un QPU o un simulatore che è possibile chiamare per eseguire attività quantistiche. I dispositivi disponibili sono elencati sulPagina dispositivi. Esistono due schemi utilizzati per specificare l'accesso a questi dispositivi:

  • arn:aws:braket:<region>:<account id>:device/qpu/<provider>/<device_id>

  • arn:aws:braket:<region>:<account id>:device/quantum-simulator/<provider>/<device_id>

Di seguito sono riportati esempi per vari tipi di accesso al dispositivo

  • Per selezionare tutte le QPU in tutte le regioni:arn:aws:braket:*:*:device/qpu/*

  • Per selezionare solo tutte le QPU nella regione us-west-2:arn:aws:braket:us-west-2:012345678901:device/qpu/*

  • In modo equivalente, per selezionare solo tutte le QPU nella regione us-west-2, poiché i dispositivi sono una risorsa di servizio, non una risorsa cliente:arn:aws:braket:us-west-2:*:device/qpu/*` `

  • Per limitare l'accesso a tutti i dispositivi simulatori on-demand:arn:aws:braket:*:012345678901:dispositivo/simulatore quantico/*` `

  • Per limitare l'accesso alIonQnella regione us-east-1:arn:aws:braket:us-east-1:012345678901:device/ionq/ionQdevice

  • Per limitare l'accesso ai dispositivi da un determinato provider, ad esempioD-WaveDispositivi QPU:arn:aws:braket:*:012345678901: dispositivo/qpu/d-wave/*`

  • Per limitare l'accesso alleTN1:arn:aws:braket:*:012345678901: dispositivo/simulatore quantico/amazon/tn1`

Aggiornamenti di AmazonBraket alle policy gestite da AWS

La seguente tabella fornisce dettagli sugli aggiornamenti alleAWSPolicy gestite da perAmazon Braketda quando questo servizio ha iniziato a tenere traccia delle modifiche.

Modifica

Descrizione

Data

AmazonBraketFullAccess- Politica di accesso completo perAmazon Braket

Aggiunte autorizzazioni S3:ListAllMyBuckets per consentire agli utenti di visualizzare e ispezionare i bucket creati e utilizzati perAmazon Braket.

31 marzo 2022

AmazonBraketFullAccess- Politica di accesso completo perAmazon Braket

Amazon Braketiam:PassRole modificato per autorizzazioni AmazonBraketFullAccess per includere il kitservice-role/percorso.

29 novembre 2021

AmazonBraketJobsExecutionPolicy- Politica di esecuzione dei lavori perAmazon BraketLavori ibride

AmazonBracket ha aggiornato il ruolo di esecuzione dei processi ARN per includere ilservice-role/percorso.

29 novembre 2021

Amazon Braketha iniziato a monitorare le modifiche

Amazon Braketha iniziato a monitorare le modifiche per il suoAWSpolicy gestite.

29 novembre 2021