Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Isolare le risorse del dominio

PDF
RSS
Modalità Focus
Isolare le risorse del dominio - Amazon SageMaker AI
ConsoleAWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Importante

Le politiche IAM personalizzate che consentono ad Amazon SageMaker Studio o Amazon SageMaker Studio Classic di creare SageMaker risorse Amazon devono inoltre concedere le autorizzazioni per aggiungere tag a tali risorse. L'autorizzazione per aggiungere tag alle risorse è necessaria perché Studio e Studio Classic taggano automaticamente tutte le risorse che creano. Se una policy IAM consente a Studio e Studio Classic di creare risorse ma non consente l'aggiunta di tag, si possono verificare errori AccessDenied "" durante il tentativo di creare risorse. Per ulteriori informazioni, consulta Fornisci le autorizzazioni per SageMaker etichettare le risorse AI.

AWS politiche gestite per Amazon SageMaker AIche danno i permessi per creare SageMaker risorse includono già le autorizzazioni per aggiungere tag durante la creazione di tali risorse.

Puoi isolare le risorse tra ciascuno dei domini del tuo account e Regione AWS utilizzare una policy AWS Identity and Access Management (IAM). Non sarà più possibile accedere alle risorse isolate da altri domini. In questo argomento discuteremo le condizioni richieste per la policy IAM e come applicarle.

Le risorse che possono essere isolate da questa policy sono i tipi di risorse che hanno chiavi di condizione contenenti aws:ResourceTag/${TagKey} osagemaker:ResourceTag/${TagKey}. Per un riferimento sulle risorse SageMaker AI e le chiavi di condizione associate, consulta Azioni, risorse e chiavi di condizione per Amazon SageMaker AI.

avvertimento

I tipi di risorse che non contengono le chiavi di condizione di cui sopra (e quindi le azioni che utilizzano i tipi di risorse) non sono interessati da questa politica di isolamento delle risorse. Ad esempio, il tipo di risorsa di esecuzione della pipeline non contiene le chiavi di condizione di cui sopra e non è influenzato da questa politica. Pertanto, le seguenti sono alcune azioni, con il tipo di risorsa di esecuzione della pipeline, non supportate per l'isolamento delle risorse:

  • DescribePipelineExecution

  • StopPipelineExecution

  • UpdatePipelineExecution

  • RetryPipelineExecution

  • DescribePipelineDefinitionForExecution

  • ListPipelineExecutionSteps

  • SendPipelineExecutionStepSuccess

  • SendPipelineExecutionStepFailure

L'argomento seguente mostra come creare una nuova policy IAM che limiti l'accesso alle risorse del dominio ai profili utente con il tag domain, nonché come collegare questa policy al ruolo di esecuzione IAM del dominio. Devi ripetere questa procedura per ogni dominio del tuo account. Per ulteriori informazioni sui tag di dominio e sul riempimento di questi tag, consulta Panoramica dei domini multipli

Console

La sezione seguente mostra come creare una nuova policy IAM che limiti l'accesso alle risorse del dominio ai profili utente con il tag domain, nonché come collegare questa policy al ruolo di esecuzione IAM del dominio, dalla console Amazon SageMaker AI.

Nota

Questa politica funziona solo nei domini che utilizzano Amazon SageMaker Studio Classic come esperienza predefinita.

  1. Crea una policy IAM denominata StudioDomainResourceIsolationPolicy-domain-id con il seguente documento di policy JSON completando le fasi descritte in Creazione di policy IAM (console). 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Associa la StudioDomainResourceIsolationPolicy-domain-id policy al ruolo di esecuzione del dominio completando i passaggi descritti in Modificare un ruolo (console).

AWS CLI

La sezione seguente mostra come creare una nuova policy IAM che limiti l'accesso alle risorse del dominio ai profili utente con il tag domain, nonché come collegare questa policy al ruolo di esecuzione del dominio, da. AWS CLI

Nota

Questa politica funziona solo nei domini che utilizzano Amazon SageMaker Studio Classic come esperienza predefinita.

  1. Dal tuo computer locale, crea un file locale denominato StudioDomainResourceIsolationPolicy-domain-id con il seguente contenuto.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAPIs",
            "Effect": "Allow",
            "Action": "sagemaker:Create*",
            "NotResource": [
                "arn:aws:sagemaker:*:*:domain/*",
                "arn:aws:sagemaker:*:*:user-profile/*",
                "arn:aws:sagemaker:*:*:space/*"
            ]
        },
        {
            "Sid": "ResourceAccessRequireDomainTag",
            "Effect": "Allow",
            "Action": [
                "sagemaker:Update*",
                "sagemaker:Delete*",
                "sagemaker:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
                }
            }
        },
        {
            "Sid": "AllowActionsThatDontSupportTagging",
            "Effect": "Allow",
            "Action": [
                "sagemaker:DescribeImageVersion",
                "sagemaker:UpdateImageVersion",
                "sagemaker:DeleteImageVersion",
                "sagemaker:DescribeModelCardExportJob",
                "sagemaker:DescribeAction"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DeleteDefaultApp",
            "Effect": "Allow",
            "Action": "sagemaker:DeleteApp",
            "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
        }
    ]
}

  2. Crea una nuova policy IAM utilizzando il file StudioDomainResourceIsolationPolicy-domain-id. 

    aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id

  3. Allega la policy appena creata a un ruolo nuovo o esistente che viene utilizzato come ruolo di esecuzione del dominio. 

    aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.