Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo funciona Amazon SageMaker AI con IAM
importante
Las políticas de IAM personalizadas que permiten a Amazon SageMaker Studio o Amazon SageMaker Studio Classic crear SageMaker recursos de Amazon también deben conceder permisos para añadir etiquetas a esos recursos. El permiso para añadir etiquetas a los recursos es necesario porque Studio y Studio Classic etiquetan automáticamente todos los recursos que crean. Si una política de IAM permite a Studio y Studio Classic crear recursos, pero no permite el etiquetado, se pueden producir errores de tipo AccessDenied «» al intentar crear recursos. Para obtener más información, consulte Proporcione permisos para etiquetar los recursos de SageMaker IA.
AWS políticas gestionadas para Amazon SageMaker AIque otorgan permisos para crear SageMaker recursos ya incluyen permisos para añadir etiquetas al crear esos recursos.
Antes de utilizar la IAM para gestionar el acceso a la SageMaker IA, debe comprender qué funciones de la IAM están disponibles para su uso con SageMaker la IA. Para obtener una visión general de cómo la SageMaker IA y otros AWS servicios funcionan con la IAM, consulte la sección AWS Servicios que funcionan con la IAM en la Referencia de autorización de servicios.
Temas
Políticas basadas en la identidad para Amazon AI SageMaker
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. SageMaker La IA admite acciones, recursos y claves de condición específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte IAM JSON Policy Elements Reference en Referencia de autorizaciones de servicio.
Políticas basadas en recursos en Amazon AI SageMaker
Admite políticas basadas en recursos: no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios puedes utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puedes realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos. Los directores pueden incluir cuentas, usuarios, roles, usuarios federados o servicios. AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Añadir a una política en función de recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Cuando la entidad principal y el recurso se encuentran en cuentas de AWS diferentes, un administrador de IAM de la cuenta de confianza también debe conceder a la entidad principal (usuario o rol) permiso para acceder al recurso. Para conceder el permiso, adjunte la entidad a una política basada en identidad. Sin embargo, si la política basada en recursos concede acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información, consulte Cross account resource access in IAM en la Guía del usuario de IAM.
nota
Úselo AWS Resource Access Managerpara compartir de forma segura los recursos de SageMaker IA compatibles. Para encontrar la lista de recursos que se pueden compartir, consulta los recursos de Amazon SageMaker AI que se pueden compartir.
Acciones políticas para Amazon SageMaker AI
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.
El elemento Action de una política JSON describe las acciones que puedes utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas en SageMaker IA utilizan el siguiente prefijo antes de la acción:sagemaker:. Por ejemplo, para conceder a alguien permiso para realizar un trabajo de formación de SageMaker IA con la operación de la CreateTrainingJob API de SageMaker IA, debes incluir la sagemaker:CreateTrainingJob acción en su política. Las declaraciones de política deben incluir un NotAction elemento Action o. SageMaker La IA define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
"Action": [ "sagemaker:action1", "sagemaker:action2" ]
Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe, incluya la siguiente acción:
"Action": "sagemaker:Describe*"
Para ver una lista de acciones de SageMaker IA, consulte Acciones, recursos y claves de condición de Amazon SageMaker AI en la Referencia de autorización de servicio.
Recursos de políticas para Amazon SageMaker AI
Compatibilidad con los recursos de políticas: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.
El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puedes hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utiliza un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
"Resource": "*"
Para ver una lista de los tipos de recursos de Amazon SageMaker AI y sus ARNs correspondientes, consulte las siguientes referencias sobre las acciones, los tipos de recursos y las claves de condición definidas por Amazon SageMaker AI en la Referencia de autorización de servicio.
Para saber con qué acciones puede especificar el ARN de cada recurso, consulte Acciones definidas por Amazon SageMaker AI.
Claves de condición de la política para Amazon SageMaker AI
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puedes crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulta Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
SageMaker La IA define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Referencia de autorización de servicios.
SageMaker La IA admite una serie de claves de condición específicas del servicio que puede utilizar como control de acceso detallado para las siguientes operaciones:
Para ver una lista de claves de condición de SageMaker IA, consulta Claves de condición de Amazon SageMaker AI en la Referencia de autorización de servicio. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte Acciones definidas por Amazon SageMaker AI.
Para ver ejemplos del uso de claves de condición de SageMaker IA, consulte lo siguiente:Controle la creación de recursos de SageMaker IA con claves de condición.
Ejemplos
Para ver ejemplos de políticas de SageMaker IA basadas en la identidad, consulte. Ejemplos de políticas basadas en la identidad de Amazon SageMaker AI
Autorización basada en etiquetas de IA SageMaker
Puede adjuntar etiquetas a los recursos de SageMaker IA o pasarlas a SageMaker AI en una solicitud. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición sagemaker:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys. Para obtener más información sobre el etiquetado de los recursos de SageMaker IA, consulteControle el acceso a los recursos de SageMaker IA mediante etiquetas.
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte Controle el acceso a los recursos de SageMaker IA mediante etiquetas.
SageMaker Funciones de IA e IAM
Un rol de IAM es una entidad de tu AWS cuenta que tiene permisos específicos.
Uso de credenciales temporales con IA SageMaker
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como AssumeRoleo GetFederationToken.
SageMaker La IA admite el uso de credenciales temporales.
Roles vinculados a servicios
SageMaker La IA admite parcialmente las funciones vinculadas al servicio. Los roles vinculados a servicios están disponibles actualmente para Studio Classic. SageMaker
Roles de servicio
Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
SageMaker La IA apoya las funciones de servicio.
Elegir una función de IAM en la IA SageMaker
Al crear una instancia de cuaderno, un trabajo de procesamiento, un trabajo de formación, un punto final alojado o un recurso de trabajo de transformación por lotes en SageMaker IA, debe elegir un rol que permita a la SageMaker IA acceder a la SageMaker IA en su nombre. Si ya ha creado un rol de servicio o un rol vinculado a un servicio, SageMaker AI le proporcionará una lista de roles entre los que elegir. Es importante elegir un rol que te permita acceder a AWS las operaciones y los recursos que necesitas. Para obtener más información, consulte Cómo utilizar las funciones de ejecución de la SageMaker IA.
