Isolez les ressources du domaine - Amazon SageMaker AI
ConsoleAWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Isolez les ressources du domaine

Important

Les IAM politiques personnalisées qui autorisent Amazon SageMaker Studio ou Amazon SageMaker Studio Classic à créer des SageMaker ressources Amazon doivent également accorder des autorisations pour ajouter des balises à ces ressources. L'autorisation d'ajouter des balises aux ressources est requise car Studio et Studio Classic balisent automatiquement toutes les ressources qu'ils créent. Si une IAM politique autorise Studio et Studio Classic à créer des ressources mais n'autorise pas le balisage, des erreurs « AccessDenied » peuvent se produire lors de la tentative de création de ressources. Pour de plus amples informations, veuillez consulter Fournir des autorisations pour le balisage des ressources d' SageMaker IA.

AWS politiques gérées pour Amazon SageMaker AIqui donnent des autorisations pour créer des SageMaker ressources incluent déjà des autorisations pour ajouter des balises lors de la création de ces ressources.

Vous pouvez isoler les ressources entre chacun des domaines de votre compte en Région AWS utilisant une politique AWS Identity and Access Management (IAM). Les ressources isolées ne seront plus accessibles depuis d'autres domaines. Dans cette rubrique, nous discuterons des conditions requises pour la IAM politique et de la manière de les appliquer.

Les ressources qui peuvent être isolées par cette politique sont les types de ressources dont les clés de condition contiennent aws:ResourceTag/${TagKey} ousagemaker:ResourceTag/${TagKey}. Pour une référence sur les ressources d' SageMaker IA et les clés de condition associées, consultez Actions, ressources et clés de condition pour Amazon SageMaker AI.

Avertissement

Les types de ressources qui ne contiennent pas les clés de condition ci-dessus (et donc les actions qui utilisent les types de ressources) ne sont pas affectés par cette politique d'isolation des ressources. Par exemple, le type de ressource d'exécution du pipeline ne contient pas les clés de condition ci-dessus et n'est pas concerné par cette politique. Par conséquent, les quelques actions suivantes, du type de ressource d'exécution de pipeline, ne sont pas prises en charge pour l'isolation des ressources :

  • DescribePipelineExecution

  • StopPipelineExecution

  • UpdatePipelineExecution

  • RetryPipelineExecution

  • DescribePipelineDefinitionForExecution

  • ListPipelineExecutionSteps

  • SendPipelineExecutionStepSuccess

  • SendPipelineExecutionStepFailure

La rubrique suivante explique comment créer une nouvelle IAM politique qui limite l'accès aux ressources du domaine aux profils utilisateur dotés de la balise de domaine, ainsi que comment associer cette politique au rôle d'IAMexécution du domaine. Vous devez répéter cette procédure pour chaque domaine de votre compte. Pour plus d'informations sur les balises de domaine et le remplissage de ces balises, voir Vue d'ensemble des domaines multiples

Console

La section suivante explique comment créer une nouvelle IAM politique qui limite l'accès aux ressources du domaine aux profils d'utilisateurs dotés de la balise de domaine, ainsi que comment associer cette politique au rôle IAM d'exécution du domaine, à partir de la console Amazon SageMaker AI.

Note

Cette politique ne fonctionne que dans les domaines qui utilisent Amazon SageMaker Studio Classic comme expérience par défaut.

  1. Créez une IAM politique nommée StudioDomainResourceIsolationPolicy-domain-id avec le document de JSON stratégie suivant en suivant les étapes de la section Création de IAM politiques (console). 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Associez la StudioDomainResourceIsolationPolicy-domain-id politique au rôle d'exécution du domaine en suivant les étapes décrites dans Modifier un rôle (console).

AWS CLI

La section suivante explique comment créer une nouvelle IAM politique qui limite l'accès aux ressources du domaine aux profils utilisateur dotés de la balise de domaine, ainsi que comment associer cette politique au rôle d'exécution du domaine, à partir du AWS CLI.

Note

Cette politique ne fonctionne que dans les domaines qui utilisent Amazon SageMaker Studio Classic comme expérience par défaut.

  1. À partir de votre machine locale, créez un fichier nommé StudioDomainResourceIsolationPolicy-domain-id avec le contenu suivant.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Créez une nouvelle IAM politique à l'aide du StudioDomainResourceIsolationPolicy-domain-id fichier. 

    aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id

  3. Attachez la politique nouvellement créée à un rôle nouveau ou existant qui est utilisé comme rôle d'exécution du domaine. 

    aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role