Sicurezza degli endpoint a più modelli - Amazon SageMaker

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza degli endpoint a più modelli

I modelli e i dati in un endpoint a più modelli si trovano insieme nel volume di storage dell'istanza e nella memoria del container. Tutte le istanze per gli SageMaker endpoint Amazon vengono eseguite su un singolo contenitore tenant di tua proprietà. Solo i tuoi modelli possono essere eseguiti sull'endpoint a più modelli. È tua responsabilità gestire la mappatura delle richieste ai modelli e fornire agli utenti l'accesso ai modelli di destinazione corretti. SageMaker utilizza i ruoli IAM per fornire policy basate sull'identità IAM da utilizzare per specificare azioni e risorse consentite o negate e le condizioni in base alle quali le azioni sono consentite o negate.

Per impostazione predefinita, un principale IAM con le autorizzazioni InvokeEndpoint su un endpoint multi-modello può invocare qualsiasi modello all'indirizzo del prefisso S3 definito nell'operazione CreateModel, a condizione che il ruolo di esecuzione IAM definito nell'operazione disponga delle autorizzazioni per scaricare il modello. Se è necessario limitare l'accesso InvokeEndpoint a un set limitato di modelli in S3, è possibile eseguire una delle seguenti operazioni:

  • Limitare le chiamate InvokeEndpont a modelli specifici ospitati nell'endpoint utilizzando la chiave di condizione IAM sagemaker:TargetModel. Ad esempio, il criterio seguente consente le richieste InvokeEndpont solo quando il valore del campo TargetModel corrisponde a una delle espressioni regolari specificate:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sagemaker:InvokeEndpoint"
            ],
            "Effect": "Allow",
            "Resource":
            "arn:aws:sagemaker:region:account-id:endpoint/endpoint_name",
            "Condition": {
                // TargetModel provided must be from this set of values
                "StringLike": {
                    "sagemaker:TargetModel": ["company_a/*", "common/*"]
                }
            }
        }
    ]
}

    Per informazioni sulle chiavi di SageMaker condizione, consulta Condition Keys for Amazon SageMaker nella Guida per l'AWS Identity and Access Management utente.

  • Creare endpoint multimodello con prefissi S3 più restrittivi.

Per ulteriori informazioni su come SageMaker utilizza i ruoli per gestire l'accesso agli endpoint ed eseguire operazioni per tuo conto, consultaCome utilizzare i ruoli di SageMaker esecuzione. I clienti potrebbero inoltre avere determinati requisiti di isolamento dei dati dettati dai propri requisiti di conformità che possono essere soddisfatti utilizzando le identità IAM.