Mengisolasi sumber daya domain - Amazon SageMaker AI
KonsolAWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengisolasi sumber daya domain

penting

IAMKebijakan khusus yang memungkinkan Amazon SageMaker Studio atau Amazon SageMaker Studio Classic membuat SageMaker sumber daya Amazon juga harus memberikan izin untuk menambahkan tag ke sumber daya tersebut. Izin untuk menambahkan tag ke sumber daya diperlukan karena Studio dan Studio Classic secara otomatis menandai sumber daya apa pun yang mereka buat. Jika IAM kebijakan mengizinkan Studio dan Studio Classic membuat sumber daya tetapi tidak mengizinkan penandaan, kesalahan "AccessDenied" dapat terjadi saat mencoba membuat sumber daya. Untuk informasi selengkapnya, lihat Berikan izin untuk menandai sumber daya AI SageMaker .

AWS kebijakan terkelola untuk Amazon SageMaker AIyang memberikan izin untuk membuat SageMaker sumber daya sudah menyertakan izin untuk menambahkan tag saat membuat sumber daya tersebut.

Anda dapat mengisolasi sumber daya antara masing-masing domain di akun Anda dan Wilayah AWS menggunakan kebijakan AWS Identity and Access Management (IAM). Sumber daya yang terisolasi tidak akan lagi diakses dari domain lain. Dalam topik ini kita akan membahas kondisi yang diperlukan untuk IAM kebijakan dan bagaimana menerapkannya.

Sumber daya yang dapat diisolasi oleh kebijakan ini adalah jenis sumber daya yang memiliki kunci kondisi yang berisi aws:ResourceTag/${TagKey} atausagemaker:ResourceTag/${TagKey}. Untuk referensi tentang sumber daya SageMaker AI dan kunci kondisi terkait, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon SageMaker AI.

Awas

Jenis sumber daya yang tidak berisi kunci kondisi di atas (dan karenanya Tindakan yang menggunakan tipe sumber daya) tidak terpengaruh oleh kebijakan isolasi sumber daya ini. Misalnya, tipe sumber daya eksekusi pipeline tidak berisi kunci kondisi di atas dan tidak terpengaruh oleh kebijakan ini. Oleh karena itu, berikut ini adalah beberapa tindakan, dengan tipe sumber daya eksekusi pipeline, tidak didukung untuk isolasi sumber daya:

  • DescribePipelineExecution

  • StopPipelineExecution

  • UpdatePipelineExecution

  • RetryPipelineExecution

  • DescribePipelineDefinitionForExecution

  • ListPipelineExecutionSteps

  • SendPipelineExecutionStepSuccess

  • SendPipelineExecutionStepFailure

Topik berikut menunjukkan cara membuat IAM kebijakan baru yang membatasi akses ke sumber daya di domain ke profil pengguna dengan tag domain, serta cara melampirkan kebijakan ini ke peran IAM eksekusi domain. Anda harus mengulangi proses ini untuk setiap domain di akun Anda. Untuk informasi selengkapnya tentang tag domain dan pengisian ulang tag ini, lihat Ikhtisar beberapa domain

Konsol

Bagian berikut menunjukkan cara membuat IAM kebijakan baru yang membatasi akses ke sumber daya di domain ke profil pengguna dengan tag domain, serta cara melampirkan kebijakan ini ke peran IAM eksekusi domain, dari konsol Amazon SageMaker AI.

catatan

Kebijakan ini hanya berfungsi di domain yang menggunakan Amazon SageMaker Studio Classic sebagai pengalaman default.

  1. Buat IAM kebijakan bernama StudioDomainResourceIsolationPolicy-domain-id dengan dokumen JSON kebijakan berikut dengan menyelesaikan langkah-langkah dalam Membuat IAM kebijakan (konsol). 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Lampirkan StudioDomainResourceIsolationPolicy-domain-id kebijakan ke peran eksekusi domain dengan menyelesaikan langkah-langkah dalam Memodifikasi peran (konsol).

AWS CLI

Bagian berikut menunjukkan cara membuat IAM kebijakan baru yang membatasi akses ke sumber daya di domain ke profil pengguna dengan tag domain, serta cara melampirkan kebijakan ini ke peran eksekusi domain, dari AWS CLI.

catatan

Kebijakan ini hanya berfungsi di domain yang menggunakan Amazon SageMaker Studio Classic sebagai pengalaman default.

  1. Buat file bernama StudioDomainResourceIsolationPolicy-domain-id dengan konten berikut dari mesin lokal Anda.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Buat IAM kebijakan baru menggunakan StudioDomainResourceIsolationPolicy-domain-id file. 

    aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id

  3. Lampirkan kebijakan yang baru dibuat ke peran baru atau yang sudah ada yang digunakan sebagai peran eksekusi domain. 

    aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role