Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio - Amazon SageMaker AI
Ruoli di esecuzione di SageMaker AIEsempio di autorizzazioni flessibili con i ruoli di esecuzione

Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio

Per molte applicazioni SageMaker AI, quando avvii un’applicazione SageMaker AI all’interno di un dominio, viene creato uno spazio per l’applicazione. Quando un profilo utente crea uno spazio, tale spazio assume un ruolo AWS Identity and Access Management (IAM) che definisce le autorizzazioni concesse a quello spazio. La pagina seguente fornisce informazioni sui tipi di spazio e sui ruoli di esecuzione che definiscono le autorizzazioni per lo spazio.

Un ruolo IAM è un'identità IAM che puoi creare nel tuo account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a un utente IAM, in quanto è un'identità AWS con policy di autorizzazioni che determinano ciò che l'identità può e non può fare in AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Tuttavia, quando assumi un ruolo, vengono fornite le credenziali di sicurezza provvisorie per la sessione del ruolo.

Nota

Quando avvii Amazon SageMaker Canvas o RStudio, non viene creato uno spazio che assume un ruolo IAM. Devi invece modificare il ruolo associato al profilo utente per gestire le relative autorizzazioni per l’applicazione. Per informazioni su come ottenere il ruolo di un profilo utente SageMaker AI, consulta Acquisizione del ruolo di esecuzione dell’utente.

Per SageMaker Canvas, consulta Configurazione e gestione delle autorizzazioni di Amazon SageMaker Canvas (per amministratori IT).

Per RStudio, consulta Creazione di un dominio Amazon SageMaker AI con l’app RStudio.

Gli utenti possono accedere alle applicazioni SageMaker AI all’interno di uno spazio condiviso o privato.

Spazi condivisi

  • Può esistere un solo spazio associato a un’applicazione. Tutti i profili utente all’interno del dominio possono accedere a uno spazio condiviso. In questo modo, tutti i profili utente del dominio possono accedere allo stesso sistema di archiviazione dei file sottostante per l’applicazione.

  • Allo spazio condiviso verranno concesse le autorizzazioni definite dal ruolo di esecuzione predefinito dello spazio. Per modificare il ruolo di esecuzione dello spazio condiviso, è necessario modificare il ruolo di esecuzione predefinito dello spazio.

    Per informazioni su come ottenere il ruolo di esecuzione predefinito dello spazio, consulta Acquisizione del ruolo di esecuzione dello spazio.

    Per informazioni su come modificare il ruolo di esecuzione, consulta Modifica delle autorizzazioni per il ruolo di esecuzione.

  • Per informazioni sugli spazi condivisi, consulta Collaborazione con spazi condivisi.

  • Per creare uno spazio condiviso, consulta Creazione di uno spazio condiviso.

Spazi privati

  • Può esistere un solo spazio associato a un’applicazione. Uno spazio privato è accessibile solo dal profilo utente che lo ha creato. Questo spazio non può essere condiviso con altri utenti.

  • Lo spazio privato assumerà il ruolo di esecuzione del profilo utente che lo ha creato. Per modificare il ruolo di esecuzione dello spazio privato, è necessario modificare il ruolo di esecuzione del profilo utente.

    Per informazioni su come ottenere il ruolo di esecuzione del profilo utente, consulta Acquisizione del ruolo di esecuzione dell’utente.

    Per informazioni su come modificare il ruolo di esecuzione, consulta Modifica delle autorizzazioni per il ruolo di esecuzione.

  • Tutte le applicazioni che supportano gli spazi supportano anche gli spazi privati.

  • Per impostazione predefinita, per ogni profilo utente viene già creato uno spazio privato per Studio Classic.

Ruoli di esecuzione di SageMaker AI

Un ruolo di esecuzione di SageMaker AI è un ruolo di AWS Identity and Access Management (IAM) assegnato a un’identità IAM che gestisce le esecuzioni in SageMaker AI. Un’identità IAM fornisce l’accesso a un account AWS e rappresenta un utente umano o un carico di lavoro programmatico che può essere autenticato e quindi autorizzato a eseguire azioni in AWS e che quindi concede le autorizzazioni a SageMaker AI per accedere ad altre risorse AWS al posto tuo. Questo ruolo consente a SageMaker AI di eseguire azioni come l’avvio di istanze di calcolo, l’accesso ai dati e agli artefatti del modello archiviati in Amazon S3 o la scrittura di log su CloudWatch. SageMaker AI assume il ruolo di esecuzione al runtime e riceve temporaneamente le autorizzazioni definite nella policy del ruolo. Il ruolo deve contenere le autorizzazioni necessarie che definiscono le azioni che l’identità può eseguire e le risorse a cui l’identità ha accesso. Puoi assegnare ruoli a varie identità per offrire un approccio flessibile e granulare alla gestione delle autorizzazioni e degli accessi all’interno del tuo dominio. Per ulteriori informazioni sui domini, consulta Panoramica del dominio Amazon SageMaker AI. Ad esempio, puoi assegnare ruoli IAM al:

  • Ruolo di esecuzione del dominio per concedere autorizzazioni globali a tutti i profili utente all’interno del dominio.

  • Ruolo di esecuzione dello spazio per concedere autorizzazioni globali per gli spazi condivisi all’interno del dominio. Tutti i profili utente del dominio possono accedere agli spazi condivisi e utilizzeranno il ruolo di esecuzione dello spazio all’interno dello spazio condiviso.

  • Ruolo di esecuzione del profilo utente per concedere autorizzazioni granulari a profili utente specifici. Uno spazio privato creato da un profilo utente assumerà il ruolo di esecuzione di quel profilo utente.

In questo modo, puoi concedere le autorizzazioni necessarie per il dominio mantenendo al tempo stesso il principio delle autorizzazioni con privilegio minimo per i profili utente, aderendo alle best practice di sicurezza in IAM descritte in AWS IAM Identity Center User Guide.

La propagazione di qualsiasi modifica ai ruoli di esecuzione potrebbe richiedere alcuni minuti. Per ulteriori informazioni, consulta rispettivamente Modifica del ruolo di esecuzione o Modifica delle autorizzazioni per il ruolo di esecuzione.

Esempio di autorizzazioni flessibili con i ruoli di esecuzione

Con i ruoli IAM puoi gestire e concedere le autorizzazioni sia a un livello globale che a un livello granulare. L’esempio seguente mostra come concedere le autorizzazioni a livello di spazio e a livello di utente.

Supponiamo che tu sia un amministratore che sta configurando un dominio per un team di Data Scientist. Puoi consentire ai profili utente all’interno del dominio di avere un accesso completo ai bucket Amazon Simple Storage Service (Amazon S3), eseguire job di addestramento SageMaker e implementare i modelli utilizzando un’applicazione in uno spazio condiviso. In questo esempio, puoi creare un ruolo IAM chiamato “DataScienceTeamRole” con autorizzazioni globali. Quindi puoi assegnare “DataScienceTeamRole” come ruolo di esecuzione predefinito dello spazio, concedendo autorizzazioni globali al tuo team. Quando un profilo utente crea uno spazio condiviso, tale spazio assumerà il ruolo di esecuzione predefinito dello spazio. Per informazioni su come assegnare un ruolo di esecuzione a un dominio esistente, consulta Acquisizione del ruolo di esecuzione dello spazio.

Invece di consentire a ogni singolo profilo utente che opera nel proprio spazio privato di avere pieno accesso ai bucket Amazon S3, puoi limitare le autorizzazioni di un profilo utente per impedire che modifichi i bucket Amazon S3. In questo esempio, puoi concedere ai profili utente l’accesso in lettura ai bucket Amazon S3 per recuperare dati, eseguire job di addestramento SageMaker e implementare modelli nel proprio spazio privato. Puoi creare un ruolo di esecuzione a livello utente chiamato “DataScientistRole” con autorizzazioni relativamente più limitate. Puoi quindi assegnare “DataScientistRole” al ruolo di esecuzione del profilo utente, concedendo le autorizzazioni necessarie per eseguire attività specifiche di data science per le finalità definite. Quando un profilo utente crea uno spazio privato, tale spazio assumerà il ruolo di esecuzione dell’utente. Per informazioni su come assegnare un ruolo di esecuzione a un profilo utente esistente, consulta Acquisizione del ruolo di esecuzione dell’utente.

Per informazioni sui ruoli di esecuzione di SageMaker AI e sull’aggiunta di ulteriori autorizzazioni, consulta Come utilizzare i ruoli di esecuzione di SageMaker AI.