As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Importante
Políticas personalizadas do IAM que permitem que o Amazon SageMaker SageMaker Studio ou o Amazon Studio Classic criem SageMaker recursos da Amazon também devem conceder permissões para adicionar tags a esses recursos. A permissão para adicionar tags aos recursos é necessária porque o Studio e o Studio Classic marcam automaticamente todos os recursos que eles criam. Se uma política do IAM permitir que o Studio e o Studio Classic criem recursos, mas não permitisse a marcação, erros AccessDenied "" podem ocorrer ao tentar criar recursos. Para obter mais informações, consulte Forneça permissões para marcar recursos de SageMaker IA.
AWS políticas gerenciadas para Amazon SageMaker AIque dão permissões para criar SageMaker recursos já incluem permissões para adicionar tags ao criar esses recursos.
Você pode isolar recursos entre cada um dos domínios da sua conta Região da AWS usando uma política AWS Identity and Access Management (IAM). Os recursos isolados não serão mais acessados a partir de outros domínios. Neste tópico, discutiremos as condições necessárias para a política do IAM e como aplicá-las.
Os recursos que podem ser isolados por essa política são os tipos de recursos que têm chaves de condição contendo aws:ResourceTag/${TagKey} ou sagemaker:ResourceTag/${TagKey}. Para obter uma referência sobre os recursos de SageMaker IA e as chaves de condição associadas, consulte Ações, recursos e chaves de condição para Amazon SageMaker AI.
Atenção
Os tipos de recursos que não contêm as chaves de condição acima (e, portanto, as ações que usam os tipos de recursos) não são afetados por essa política de isolamento de recursos. Por exemplo, o tipo de recurso pipeline-execution não contém as chaves de condição acima e não é afetado por essa política. Portanto, algumas ações, com o tipo de recurso pipeline-execution, que não são compatíveis com o isolamento de recursos:
-
DescribePipelineExecution
-
StopPipelineExecution
-
UpdatePipelineExecution
-
RetryPipelineExecution
-
DescribePipelineDefinitionForExecution
-
ListPipelineExecutionSteps
-
SendPipelineExecutionStepSuccess
-
SendPipelineExecutionStepFailure
O tópico a seguir mostra como criar uma nova política do IAM que limita o acesso aos recursos no domínio aos perfis de usuário com a tag de domínio, além de como anexar essa política ao perfil de execução do IAM do domínio. Você deve repetir esse processo para cada domínio em sua conta. Para obter mais informações sobre tags de domínio e preenchimento dessas tags, consulte Visão geral de vários domínios.
Console
A seção a seguir mostra como criar uma nova política do IAM que limita o acesso aos recursos no domínio aos perfis de usuário com a tag de domínio, além de como anexar essa política à função de execução do IAM do domínio, a partir do console do Amazon SageMaker AI.
nota
Essa política só funciona em domínios que usam o Amazon SageMaker Studio Classic como experiência padrão.
-
Crie uma política do IAM nomeada
StudioDomainResourceIsolationPolicy-com o seguinte documento de política JSON concluindo as etapas em Criação de políticas do IAM (console):domain-id{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAPIs", "Effect": "Allow", "Action": "sagemaker:Create*", "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:space/*" ] }, { "Sid": "ResourceAccessRequireDomainTag", "Effect": "Allow", "Action": [ "sagemaker:Update*", "sagemaker:Delete*", "sagemaker:Describe*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:domain-arn": "domain-arn" } } }, { "Sid": "AllowActionsThatDontSupportTagging", "Effect": "Allow", "Action": [ "sagemaker:DescribeImageVersion", "sagemaker:UpdateImageVersion", "sagemaker:DeleteImageVersion", "sagemaker:DescribeModelCardExportJob", "sagemaker:DescribeAction" ], "Resource": "*" }, { "Sid": "DeleteDefaultApp", "Effect": "Allow", "Action": "sagemaker:DeleteApp", "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default" } ] } -
Anexe a política
StudioDomainResourceIsolationPolicy-ao perfil de execução do domínio concluindo as etapas em Como modificar um perfil (console).domain-id
AWS CLI
A seção a seguir mostra como criar uma nova política do IAM que limita o acesso aos recursos no domínio aos perfis de usuário com a tag de domínio, além de como anexar essa política ao perfil de execução do domínio a partir da AWS CLI.
nota
Essa política só funciona em domínios que usam o Amazon SageMaker Studio Classic como experiência padrão.
-
Crie um arquivo denominado
StudioDomainResourceIsolationPolicy-com o conteúdo a seguir a partir da sua máquina local.domain-id{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAPIs", "Effect": "Allow", "Action": "sagemaker:Create*", "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:space/*" ] }, { "Sid": "ResourceAccessRequireDomainTag", "Effect": "Allow", "Action": [ "sagemaker:Update*", "sagemaker:Delete*", "sagemaker:Describe*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/sagemaker:domain-arn": "domain-arn" } } }, { "Sid": "AllowActionsThatDontSupportTagging", "Effect": "Allow", "Action": [ "sagemaker:DescribeImageVersion", "sagemaker:UpdateImageVersion", "sagemaker:DeleteImageVersion", "sagemaker:DescribeModelCardExportJob", "sagemaker:DescribeAction" ], "Resource": "*" }, { "Sid": "DeleteDefaultApp", "Effect": "Allow", "Action": "sagemaker:DeleteApp", "Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default" } ] } -
Crie uma nova política do IAM usando o arquivo
StudioDomainResourceIsolationPolicy-.domain-idaws iam create-policy --policy-nameStudioDomainResourceIsolationPolicy---policy-document file://domain-idStudioDomainResourceIsolationPolicy-domain-id -
Anexe a política recém-criada a um perfil novo ou existente que seja usado como perfil de execução do domínio.
aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy---role-namedomain-iddomain-execution-role
