다중 모델 엔드포인트 보안

다중 모델 엔드포인트의 모델과 데이터는 인스턴스 스토리지 볼륨과 컨테이너 메모리에 공존합니다. Amazon SageMaker 엔드포인트의 모든 인스턴스는 사용자가 소유한 단일 테넌트 컨테이너에서 실행됩니다. 다중 모델 엔드포인트에서는 사용자의 모델만 실행될 수 있습니다. 모델에 대한 요청 매핑을 관리하고 사용자에게 올바른 대상 모델에 대한 액세스 권한을 제공하는 것은 귀하의 책임입니다. SageMaker는 IAM 역할을 사용하여 허용되거나 거부되는 작업과 리소스 및 작업이 허용되거나 거부되는 조건을 지정할 때 사용하는 IAM 자격 증명 기반 정책을 제공합니다.

기본적으로, 다중 모델 엔드포인트에 대한 InvokeEndpoint 권한이 있는 IAM 보안 주체는 CreateModel 작업에 정의된 S3 접두사 주소로 모든 모델을 간접 호출할 수 있습니다. 단, 작업에서 정의된 IAM 실행 역할에 모델을 다운로드할 권한이 있어야 합니다. S3에서 제한된 모델 집합에 대한 InvokeEndpoint 액세스를 제한해야 하는 경우 다음 중 하나를 수행할 수 있습니다.

sagemaker:TargetModel IAM 조건 키를 사용하여 엔드포인트에서 호스팅되는 특정 모델에 대한 InvokeEndpont 호출을 제한합니다. 예를 들어 다음 정책은 TargetModel 필드 값이 지정된 정규식 중 하나와 일치하는 경우에만 InvokeEndpont 요청을 허용합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sagemaker:InvokeEndpoint"
            ],
            "Effect": "Allow",
            "Resource":
            "arn:aws:sagemaker:region:account-id:endpoint/endpoint_name",
            "Condition": {
                // TargetModel provided must be from this set of values
                "StringLike": {
                    "sagemaker:TargetModel": ["company_a/*", "common/*"]
                }
            }
        }
    ]
}

SageMaker 조건 키에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 Amazon SageMaker용 조건 키를 참조하세요.

보다 제한적인 S3 접두사를 사용하여 다중 모델 엔드포인트를 만듭니다.

SageMaker가 역할을 사용하여 엔드포인트에 대한 액세스를 관리하고 사용자를 대신하여 작업을 수행하는 방법에 대한 자세한 내용은 SageMaker 실행 역할을 사용하는 방법 섹션을 참조하세요. 또한 고객은 IAM 자격 증명을 사용해 충족할 수 있는 자체 규정 준수 요구 사항에서 지시하는 특정한 데이터 격리 요구 사항을 가지고 있을 수도 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

API 컨테이너 계약

다중 모델 엔드포인트 배포에 대한 CloudWatch 지표