Sécurité avec terminaux multi-conteneurs avec appel direct

Pour les points de terminaison multi-conteneurs avec appel direct, plusieurs conteneurs sont hébergés dans une seule instance, et partagent la mémoire et un volume de stockage. Il est de votre responsabilité d'utiliser des conteneurs sécurisés, de maintenir le mappage correct des demandes vers les conteneurs cibles et de fournir aux utilisateurs l'accès correct aux conteneurs cibles. SageMaker L'IA utilise les rôles IAM pour fournir des politiques basées sur l'identité IAM que vous utilisez pour spécifier si l'accès à une ressource est autorisé ou refusé à ce rôle, et dans quelles conditions. Pour obtenir des informations sur les rôles IAM, veuillez consulter IAM roles (Rôles IAM) dans le Guide de l'utilisateur AWS Identity and Access Management . Pour obtenir des informations sur les politiques basées sur l'identité, veuillez consulter Identity-based policies and resource-based policies (Politiques basées sur l'identité et politiques basées sur les ressources).

Par défaut, un principal IAM disposant d'autorisations InvokeEndpoint sur un point de terminaison multi-conteneurs avec appel direct peut appeler n'importe quel conteneur à l'intérieur du point de terminaison avec le nom de point de terminaison que vous spécifiez lorsque vous appelez invoke_endpoint. Si vous devez restreindre l'accès invoke_endpoint à un ensemble limité de conteneurs à l'intérieur d'un point de terminaison multi-conteneurs, utilisez la clé de condition IAM sagemaker:TargetContainerHostname. Les politiques suivantes montrent comment limiter les appels à des conteneurs spécifiques au sein d'un point de terminaison.