翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 直接呼び出しが設定されたマルチコンテナエンドポイントのセキュリティ
<a name="multi-container-security"></a>

 直接呼び出しが設定されたマルチコンテナエンドポイントでは、メモリとストレージボリュームを共有する複数のコンテナが単一のインスタンス内でホストされます。セキュアなコンテナの使用、ターゲットコンテナに対するリクエストの正しいマッピングの維持、ターゲットコンテナへの適切なアクセスをユーザーに提供することは、ユーザーの責任において行います。SageMaker AI は IAM ロールを使って IAM アイデンティティベースのポリシーを提供します。ポリシーは、そのロールのリソースへのアクセスをどのような条件で許可または拒否するかどうかを指定するために使います。IAM ロールの詳細については、*AWS Identity and Access Management ユーザーガイド*の「[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)」をご参照ください。アイデンティティベースのポリシーの詳細については、「[アイデンティティベースおよびリソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)」を参照してください。

デフォルトでは、直接呼び出しが設定されたマルチコンテナエンドポイントに対する `InvokeEndpoint` 許可を持つ IAM プリンシパルは、`invoke_endpoint` を呼び出したときに指定したエンドポイント名を使って、そのエンドポイント内の任意のコンテナを呼び出せます。`invoke_endpoint` アクセス許可をマルチコンテナエンドポイント内の限定されたコンテナセットに制限する必要がある場合は、`sagemaker:TargetContainerHostname` IAM 条件キーを使います。次のポリシーは、エンドポイント内の特定のコンテナに対する呼び出しを制限する方法を示しています。