Aislamiento de los recursos del dominio - Amazon SageMaker AI
ConsolaAWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aislamiento de los recursos del dominio

importante

Las políticas de IAM personalizadas que permiten a Amazon SageMaker Studio o Amazon SageMaker Studio Classic crear SageMaker recursos de Amazon también deben conceder permisos para añadir etiquetas a esos recursos. El permiso para añadir etiquetas a los recursos es necesario porque Studio y Studio Classic etiquetan automáticamente todos los recursos que crean. Si una política de IAM permite a Studio y Studio Classic crear recursos, pero no permite el etiquetado, se pueden producir errores de tipo AccessDenied «» al intentar crear recursos. Para obtener más información, consulte Proporcione permisos para etiquetar los recursos de SageMaker IA.

AWS políticas gestionadas para Amazon SageMaker AIque otorgan permisos para crear SageMaker recursos ya incluyen permisos para añadir etiquetas al crear esos recursos.

Puedes aislar los recursos entre cada uno de los dominios de tu cuenta Región de AWS mediante una política AWS Identity and Access Management (IAM). Ya no se podrá acceder a los recursos aislados desde otros dominios. En este tema, analizaremos las condiciones requeridas para la política de IAM y cómo aplicarlas.

Los recursos que se pueden aislar mediante esta política son los tipos de recursos que tienen claves de condición que contienen aws:ResourceTag/${TagKey} o sagemaker:ResourceTag/${TagKey}. Para obtener una referencia sobre los recursos de SageMaker IA y las claves de condición asociadas, consulte Acciones, recursos y claves de condición de Amazon SageMaker AI.

aviso

Los tipos de recursos que no contienen las claves de condición anteriores (y, por lo tanto, las acciones que utilizan los tipos de recursos) no se ven afectados por esta política de aislamiento de recursos. Por ejemplo, el tipo de recurso pipeline-execution no contiene las claves de condición anteriores y no se ve afectado por esta política. Por lo tanto, a continuación se indican algunas acciones, con el tipo de recurso pipeline-execution, que no se admiten para el aislamiento de recursos:

  • DescribePipelineExecution

  • StopPipelineExecution

  • UpdatePipelineExecution

  • RetryPipelineExecution

  • DescribePipelineDefinitionForExecution

  • ListPipelineExecutionSteps

  • SendPipelineExecutionStepSuccess

  • SendPipelineExecutionStepFailure

En el siguiente tema, se muestra cómo crear una nueva política de IAM que limite el acceso a los recursos del dominio a los perfiles de usuario con la etiqueta del dominio, así como la forma de asociar esta política al rol de ejecución de IAM del dominio. Debe repetir este proceso para cada dominio de su cuenta. Para obtener más información sobre las etiquetas de dominio y cómo reponerlas, consulte Información general sobre varios dominios.

Consola

En la siguiente sección, se muestra cómo crear una nueva política de IAM que limite el acceso a los recursos del dominio a los perfiles de usuario con la etiqueta de dominio, así como cómo adjuntar esta política a la función de ejecución de IAM del dominio, desde la consola Amazon SageMaker AI.

nota

Esta política solo funciona en los dominios que utilizan Amazon SageMaker Studio Classic como experiencia predeterminada.

  1. Cree una política de IAM denominada StudioDomainResourceIsolationPolicy-domain-id junto con el siguiente documento de política de JSON según los pasos que se indican en la sección Creación de políticas de IAM (Consola). 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Asocie la política StudioDomainResourceIsolationPolicy-domain-id al rol de ejecución del dominio realizando los pasos que se indican en Modificación de un rol (consola).

AWS CLI

En la siguiente sección, se muestra cómo crear una nueva política de IAM que limite el acceso a los recursos del dominio a los perfiles de usuario con la etiqueta del dominio, así como la forma de asociar esta política al rol de ejecución de IAM del dominio desde la AWS CLI.

nota

Esta política solo funciona en los dominios que utilizan Amazon SageMaker Studio Classic como experiencia predeterminada.

  1. En su equipo local, cree un archivo local denominado StudioDomainResourceIsolationPolicy-domain-id, que contenga lo siguiente.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Cree una nueva política de IAM mediante el archivo StudioDomainResourceIsolationPolicy-domain-id. 

    aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id

  3. Asocie la política recién creada a un rol nuevo o existente que se utilice como rol de ejecución del dominio. 

    aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role