Sicurezza degli endpoint a più modelli - Amazon SageMaker

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza degli endpoint a più modelli

I modelli e i dati in un endpoint a più modelli si trovano insieme nel volume di storage dell'istanza e nella memoria del container. Tutte le istanze per gli SageMaker endpoint Amazon vengono eseguite su un singolo contenitore tenant di tua proprietà. Solo i tuoi modelli possono essere eseguiti sull'endpoint a più modelli. È tua responsabilità gestire la mappatura delle richieste ai modelli e fornire agli utenti l'accesso ai modelli di destinazione corretti. SageMaker utilizza IAMi ruoli per fornire politiche IAM basate sull'identità utilizzate per specificare azioni e risorse consentite o negate e le condizioni in base alle quali le azioni sono consentite o negate.

Per impostazione predefinita, un IAM principale con InvokeEndpointautorizzazioni su un endpoint multimodello può richiamare qualsiasi modello all'indirizzo del prefisso S3 definito nell'CreateModeloperazione, a condizione che il ruolo di IAM esecuzione definito nell'operazione disponga delle autorizzazioni per scaricare il modello. Se è necessario limitare l'accesso InvokeEndpoint a un set limitato di modelli in S3, è possibile eseguire una delle seguenti operazioni:

  • Limita InvokeEndpont le chiamate a modelli specifici ospitati sull'endpoint utilizzando la chiave di condizione. sagemaker:TargetModel IAM Ad esempio, il criterio seguente consente le richieste InvokeEndpont solo quando il valore del campo TargetModel corrisponde a una delle espressioni regolari specificate:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sagemaker:InvokeEndpoint"
            ],
            "Effect": "Allow",
            "Resource":
            "arn:aws:sagemaker:region:account-id:endpoint/endpoint_name",
            "Condition": {
                // TargetModel provided must be from this set of values
                "StringLike": {
                    "sagemaker:TargetModel": ["company_a/*", "common/*"]
                }
            }
        }
    ]
}

    Per informazioni sulle chiavi di SageMaker condizione, consulta Condition Keys for Amazon SageMaker nella Guida per l'AWS Identity and Access Management utente.

  • Creare endpoint multimodello con prefissi S3 più restrittivi.

Per ulteriori informazioni su come SageMaker utilizza i ruoli per gestire l'accesso agli endpoint ed eseguire operazioni per tuo conto, consultaCome utilizzare i ruoli di SageMaker esecuzione. I vostri clienti potrebbero inoltre avere determinati requisiti di isolamento dei dati dettati dai propri requisiti di conformità che possono essere soddisfatti utilizzando IAM le identità.