翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
直接呼び出しが設定されたマルチコンテナエンドポイントのセキュリティ
直接呼び出しが設定されたマルチコンテナエンドポイントでは、メモリとストレージボリュームを共有する複数のコンテナが単一のインスタンス内でホストされます。セキュアなコンテナの使用、ターゲットコンテナに対するリクエストの正しいマッピングの維持、ターゲットコンテナへの適切なアクセスをユーザーに提供することは、ユーザーの責任において行います。SageMaker AI は IAM ロールを使用して IAM アイデンティティベースのポリシーを提供します。このポリシーを使用して、リソースへのアクセスがそのロールに対して許可または拒否されるかどうか、およびどのような条件下で許可されるかを指定します。IAM ロールの詳細については、AWS Identity and Access Management ユーザーガイドの「IAM ロール」をご参照ください。アイデンティティベースのポリシーの詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。
デフォルトでは、直接呼び出しが設定されたマルチコンテナエンドポイントに対する InvokeEndpoint
許可を持つ IAM プリンシパルは、invoke_endpoint
を呼び出したときに指定したエンドポイント名を使って、そのエンドポイント内の任意のコンテナを呼び出せます。invoke_endpoint
アクセス許可をマルチコンテナエンドポイント内の限定されたコンテナセットに制限する必要がある場合は、sagemaker:TargetContainerHostname
IAM 条件キーを使います。次のポリシーは、エンドポイント内の特定のコンテナに対する呼び出しを制限する方法を示しています。