直接呼び出しが設定されたマルチコンテナエンドポイントのセキュリティ

直接呼び出しが設定されたマルチコンテナエンドポイントでは、メモリとストレージボリュームを共有する複数のコンテナが単一のインスタンス内でホストされます。セキュアコンテナを使用し、ターゲットコンテナへのリクエストの正しいマッピングを維持し、ターゲットコンテナへの正しいアクセスをユーザーに提供するのは、ユーザーの責任です。 SageMaker は、 IAM ロールを使用して、リソースへのアクセスがそのロールに対して許可または拒否されるかどうか、およびどのような条件下で指定するために使用するIAMアイデンティティベースのポリシーを提供します。IAM ロールの詳細については、「 ユーザーガイド」のIAM「 ロール」を参照してください。 AWS Identity and Access Management アイデンティティベースのポリシーの詳細については、「アイデンティティベースおよびリソースベースのポリシー」を参照してください。

デフォルトでは、直接呼び出しを持つマルチコンテナエンドポイントに対するInvokeEndpointアクセス許可を持つIAMプリンシパルは、 を呼び出すときに指定したエンドポイント名を持つエンドポイント内の任意のコンテナを呼び出すことができますinvoke_endpoint。マルチコンテナエンドポイント内の限定されたコンテナセットinvoke_endpointへのアクセスを制限する必要がある場合は、 sagemaker:TargetContainerHostname IAM 条件キーを使用します。次のポリシーは、エンドポイント内の特定のコンテナに対する呼び出しを制限する方法を示しています。