Nous ne mettons plus à jour le service Amazon Machine Learning et n'acceptons plus de nouveaux utilisateurs pour celui-ci. Cette documentation est disponible pour les utilisateurs existants, mais nous ne la mettons plus à jour. Pour plus d'informations, consultez Qu'est-ce qu'Amazon Machine Learning ?
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle de l'accès aux ressources Amazon ML - avec IAM
AWS Identity and Access Management (IAM) vous permet de contrôler en toute sécurité l'accès aux AWS services et aux ressources pour vos utilisateurs. En utilisantIAM, vous pouvez créer et gérer des AWS utilisateurs, des groupes et des rôles, et utiliser des autorisations pour autoriser ou refuser leur accès aux AWS ressources. En utilisant IAM Amazon Machine Learning (Amazon ML), vous pouvez contrôler si les utilisateurs de votre organisation peuvent utiliser des AWS ressources spécifiques et s'ils peuvent effectuer une tâche à l'aide d'actions Amazon ML spécifiques. API
IAM vous permet d'effectuer les opérations suivantes :
-
Créez des utilisateurs et des groupes sous votre AWS compte.
-
Attribuer des informations d'identification de sécurité uniques à chaque utilisateur de votre compte AWS
-
Contrôler les autorisations de chaque utilisateur pour exécuter les tâches à l’aide des ressources AWS
-
Partagez facilement vos AWS ressources avec les utilisateurs de votre AWS compte
-
Créez des rôles pour votre AWS compte et gérez les autorisations associées à ces rôles afin de définir les utilisateurs ou les services qui peuvent les assumer
-
Vous pouvez créer des rôles IAM et gérer les autorisations afin de contrôler quelles opérations peuvent être effectuées par l'entité ou le AWS service qui assume le rôle. Vous pouvez également définir l'entité qui est autorisée à endosser le rôle.
Si votre organisation possède déjà IAM des identités, vous pouvez les utiliser pour accorder des autorisations permettant d'effectuer des tâches à l'aide de AWS ressources.
Pour plus d’informations sur IAM, consultez le IAMGuide de l’utilisateur .
Syntaxe d'une stratégie IAM
Une IAM politique est un JSON document composé d'une ou de plusieurs déclarations. Chaque déclaration a la structure suivante :
{ "Statement":[{ "Effect":"effect", "Action":"action", "Resource":"arn", "Condition":{ "condition operator":{ "key":"value" } } }] }
Une déclaration de stratégie inclut les éléments suivants :
-
Effet : contrôle l'autorisation d'utiliser les ressources et API les actions que vous spécifierez ultérieurement dans la déclaration. Les valeurs valides sont
AllowetDeny. Par défaut, IAM les utilisateurs ne sont pas autorisés à utiliser les ressources et les API actions. Toutes les demandes sont donc refusées. Une valeurAllowexplicite remplace la valeur par défaut. Une valeurDenyexplicite remplace toute valeurAllows. -
Action : API action ou actions spécifiques pour lesquelles vous accordez ou refusez l'autorisation.
-
Resource : la ressource affectée par l’action. Pour spécifier une ressource dans l'instruction, vous devez utiliser son Amazon Resource Name (ARN).
-
Condition (facultatif) : contrôle à quel moment la stratégie sera effective.
Pour simplifier la création et la gestion des IAM politiques, vous pouvez utiliser le générateur AWS de politiques et le simulateur IAM de politiques.
Spécification IAM des actions de politique pour Amazon MLAmazon ML
Dans une déclaration IAM de politique, vous pouvez spécifier une API action pour tout service qui prend en chargeIAM. Lorsque vous créez une déclaration de politique pour les API actions Amazon ML, ajoutez-la machinelearning: au début du nom de l'APIaction, comme indiqué dans les exemples suivants :
-
machinelearning:CreateDataSourceFromS3 -
machinelearning:DescribeDataSources -
machinelearning:DeleteDataSource -
machinelearning:GetDataSource
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules :
"Action": ["machinelearning:action1", "machinelearning:action2"]
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques. Par exemple, vous pouvez spécifier toutes les actions dont le nom commence par le mot « Get » :
"Action": "machinelearning:Get*"
Pour spécifier toutes les actions Amazon ML, utilisez le caractère générique* :
"Action": "machinelearning:*"
Pour obtenir la liste complète des API actions Amazon ML, consultez l'Amazon Machine Learning API Reference.
Spécification ARNs des ressources Amazon ML dans IAM les politiques
Les déclarations de stratégies IAM s'appliquent à une ou plusieurs ressources. Vous spécifiez les ressources pour vos politiques en fonction de leur valeurARNs.
Pour spécifier les ressources ARNs pour Amazon ML, utilisez le format suivant :
"Ressource": arn:aws:machinelearning:region:account:resource-type/identifier
Les exemples suivants montrent comment spécifier commonARNs.
ID de source de données : my-s3-datasource-id
"Resource": arn:aws:machinelearning:<region>:<your-account-id>:datasource/my-s3-datasource-id
ID du modèle d'apprentissage-machine : my-ml-model-id
"Resource": arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/my-ml-model-id
ID de prédiction par lots : my-batchprediction-id
"Resource": arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/my-batchprediction-id
ID d'évaluation : my-evaluation-id
"Resource": arn:aws:machinelearning:<region>:<your-account-id>:evaluation/my-evaluation-id
Exemples de politiques pour Amazon MLs
Exemple 1 : autoriser des utilisateurs à lire les métadonnées des ressources d'apprentissage-machine
La politique suivante permet à un utilisateur ou à un groupe de lire les métadonnées des sources de données, des modèles ML, des prédictions par lots et des évaluations en effectuant DescribeDataSourcesdes GetEvaluationactions escribeMLModels DescribeBatchPredictionsDescribeEvaluationsGetDataSourceetMLModel, D GetBatchPrediction,,,, G et sur les ressources spécifiées. Les autorisations des opérations Describe* ne peuvent pas être restreintes à une ressource en particulier.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:Get*" ], "Resource": [ "arn:aws:machinelearning:<region>:<your-account-id>:datasource/S3-DS-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:datasource/REDSHIFT-DS-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/BP-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:evaluation/EV-ID1" ] }, { "Effect": "Allow", "Action": [ "machinelearning:Describe*" ], "Resource": [ "*" ] }] }
Exemple 2 : autoriser des utilisateurs à créer des ressources d'apprentissage-machine
La stratégie suivante autorise un utilisateur ou un groupe à créer des sources de données d'apprentissage-machine, des modèles d'apprentissage-machine, des prédictions par lots et des évaluations en effectuant les actions CreateDataSourceFromS3, CreateDataSourceFromRedshift, CreateDataSourceFromRDS, CreateMLModel, CreateBatchPrediction et CreateEvaluation. Vous ne pouvez pas limiter les autorisations pour ces actions à une ressource spécifique.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:CreateDataSourceFrom*", "machinelearning:CreateMLModel", "machinelearning:CreateBatchPrediction", "machinelearning:CreateEvaluation" ], "Resource": [ "*" ] }] }
Exemple 3 : autoriser des utilisateurs à créer et supprimer des points de terminaison en temps réel, et à réaliser des prédictions en temps réel sur un modèle d'apprentissage-machine
La stratégie suivante autorise des utilisateurs ou des groupes à créer et supprimer des points de terminaison en temps réel, et à réaliser des prédictions en temps réel pour un modèle d'apprentissage-machine spécifique, en effectuant les actions CreateRealtimeEndpoint, DeleteRealtimeEndpoint et Predict sur ce modèle.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:CreateRealtimeEndpoint", "machinelearning:DeleteRealtimeEndpoint", "machinelearning:Predict" ], "Resource": [ "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL" ] }] }
Exemple 4 : autoriser des utilisateurs à mettre à jour et supprimer des ressources spécifiques
La politique suivante permet à un utilisateur ou à un groupe de mettre à jour et de supprimer des ressources spécifiques de votre AWS compte en lui donnant l'autorisation d'effectuer UpdateDataSource UpdateMLModel UpdateBatchPredictionUpdateEvaluation,DeleteDataSource,DeleteMLModel,DeleteBatchPrediction,, et DeleteEvaluation des actions sur ces ressources de votre compte.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:Update*", "machinelearning:DeleteDataSource", "machinelearning:DeleteMLModel", "machinelearning:DeleteBatchPrediction", "machinelearning:DeleteEvaluation" ], "Resource": [ "arn:aws:machinelearning:<region>:<your-account-id>:datasource/S3-DS-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:datasource/REDSHIFT-DS-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/BP-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:evaluation/EV-ID1" ] }] }
Exemple 5 : Autoriser n'importe quel Amazon MLaction
La politique suivante permet à un utilisateur ou à un groupe d'utiliser n'importe quelle action Amazon ML. Etant donné que cette stratégie accorde un accès complet à l'ensemble de vos ressources d'apprentissage-machine, limitez-la aux seuls administrateurs.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:*" ], "Resource": [ "*" ] }] }
