我們不再更新 Amazon Machine Learning 服務或接受新的使用者。本文件可供現有使用者使用,但我們不再更新。如需詳細資訊,請參閱什麼是 Amazon Machine Learning。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 控制對 Amazon ML 資源的存取 IAM
AWS Identity and Access Management (IAM) 可讓您安全地控制使用者對 AWS 服務和資源的存取。使用 IAM,您可以建立和管理AWS使用者、群組和角色,並使用許可來允許和拒絕使用 IAM 搭配 AWS Amazon Machine Learning (Amazon ML) 存取 resources.By,您可以控制組織中的使用者是否可以使用特定AWS資源,以及是否可以使用特定 Amazon ML API動作來執行任務。
IAM 讓您可以:
-
在AWS您的帳戶下建立使用者和群組。
-
將唯一安全登入資料指派給 AWS 帳戶下的每位使用者
-
控制每個使用者使用 AWS 資源執行任務的許可
-
輕鬆AWS與AWS帳戶中的使用者共用資源
-
為您的 AWS帳戶建立角色並管理其許可,以定義可擔任這些角色的使用者或服務
-
您可以在 中建立角色IAM和管理許可,以控制擔任角色的實體AWS或服務可執行哪些操作。您也可以定義允許擔任該角色的實體。
如果您的組織已有IAM身分,您可以使用它們來授予使用 AWS 資源執行任務的許可。
如需 IAM 的相關資訊,請參閱《 使用者指南》IAM。
IAM 政策語法
IAM 政策是由一或多個陳述式組成的JSON文件。每個陳述式結構如下:
{ "Statement":[{ "Effect":"effect", "Action":"action", "Resource":"arn", "Condition":{ "condition operator":{ "key":"value" } } }] }
政策陳述式包含下列元素:
-
Effect:控制使用您將稍後在陳述式中指定之資源和API動作的許可。有效值為
Allow和Deny。根據預設,IAM使用者沒有使用資源和API動作的許可,因此所有請求都會遭到拒絕。明確Allow會覆寫預設值。明確Deny會覆寫任何Allows。 -
動作:您授予或拒絕許可的特定API動作。
-
Resource (資源):受動作影響的資源。若要在陳述式中指定資源,請使用其 Amazon Resource Name (ARN)。
-
條件 (選用):控制政策生效的時機。
若要簡化IAM政策的AWS建立和管理,您可以使用政策產生器和IAM政策模擬器。
指定 Amazon MLAmazon ML IAM的政策動作
在IAM政策陳述式中,您可以為支援 的任何服務指定 API動作IAM。當您為 Amazon ML API動作建立政策陳述式時,請在API動作machinelearning:名稱前面加上 ,如下列範例所示:
-
machinelearning:CreateDataSourceFromS3 -
machinelearning:DescribeDataSources -
machinelearning:DeleteDataSource -
machinelearning:GetDataSource
若要在單一陳述式中指定多個動作,請用逗號分隔:
"Action": ["machinelearning:action1", "machinelearning:action2"]
您也可以使用萬用字元指定多個動作。例如,您可以指定名稱開頭有 "Get" 文字的所有動作:
"Action": "machinelearning:Get*"
若要指定所有 Amazon ML 動作,請使用 * 萬用字元:
"Action": "machinelearning:*"
如需 Amazon ML API動作的完整清單,請參閱 Amazon Machine Learning API參考。
在IAM政策中指定 ARNs Amazon ML 資源
IAM 政策陳述式套用到一或多個資源。您可以透過 為您的政策指定資源ARNs。
若要ARNs為 Amazon ML 資源指定 ,請使用下列格式:
"Resource": arn:aws:machinelearning:region:account:resource-type/identifier
下列範例示範如何指定常見的 ARNs。
資料來源 ID:my-s3-datasource-id
"Resource": arn:aws:machinelearning:<region>:<your-account-id>:datasource/my-s3-datasource-id
ML 模型 ID:my-ml-model-id
"Resource": arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/my-ml-model-id
批次預測 ID:my-batchprediction-id
"Resource": arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/my-batchprediction-id
評估 ID:my-evaluation-id
"Resource": arn:aws:machinelearning:<region>:<your-account-id>:evaluation/my-evaluation-id
Amazon 的範例政策 MLs
範例 1:允許使用者讀取機器學習資源中繼資料
下列政策允許使用者或群組透過對指定的資源執行 DescribeDataSources、DescribeMLModels、、、、DescribeBatchPredictionsDescribeEvaluationsGetDataSourceGetMLModel、 和 (以及) GetEvaluation動作,讀取資料來源、ML 模型GetBatchPrediction、批次預測和評估的中繼資料。Describe* 操作許可不能限制在特定的資源上。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:Get*" ], "Resource": [ "arn:aws:machinelearning:<region>:<your-account-id>:datasource/S3-DS-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:datasource/REDSHIFT-DS-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/BP-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:evaluation/EV-ID1" ] }, { "Effect": "Allow", "Action": [ "machinelearning:Describe*" ], "Resource": [ "*" ] }] }
範例 2:允許使用者建立機器學習資源
以下政策允許使用者或群組透過執行 CreateDataSourceFromS3、CreateDataSourceFromRedshift、CreateDataSourceFromRDS、CreateMLModel、CreateBatchPrediction 和 CreateEvaluation 動作,來建立機器學習資料來源、ML 模型、批次預測和評估。您無法將這些動作的許可限制在特定資源上。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:CreateDataSourceFrom*", "machinelearning:CreateMLModel", "machinelearning:CreateBatchPrediction", "machinelearning:CreateEvaluation" ], "Resource": [ "*" ] }] }
範例 3:允許使用者在 ML 模型上建立和刪除即時端點,以及執行即時預測
以下政策允許使用者或群組透過在模型上執行 CreateRealtimeEndpoint、DeleteRealtimeEndpoint 和 Predict 動作,來為特定 ML 模型建立和刪除即時端點,以及執行即時預測。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:CreateRealtimeEndpoint", "machinelearning:DeleteRealtimeEndpoint", "machinelearning:Predict" ], "Resource": [ "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL" ] }] }
範例 4:允許使用者更新和刪除特定資源
下列政策允許使用者或群組更新和刪除您AWS帳戶中的特定資源,方法是授予他們許可,以對帳戶中的這些資源執行 UpdateDataSource、UpdateMLModel、DeleteBatchPrediction、、UpdateBatchPredictionUpdateEvaluationDeleteDataSourceDeleteMLModel、 和 DeleteEvaluation動作。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:Update*", "machinelearning:DeleteDataSource", "machinelearning:DeleteMLModel", "machinelearning:DeleteBatchPrediction", "machinelearning:DeleteEvaluation" ], "Resource": [ "arn:aws:machinelearning:<region>:<your-account-id>:datasource/S3-DS-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:datasource/REDSHIFT-DS-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:mlmodel/ML-MODEL-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:batchprediction/BP-ID1", "arn:aws:machinelearning:<region>:<your-account-id>:evaluation/EV-ID1" ] }] }
範例 5:允許任何 Amazon MLaction
下列政策允許使用者或群組使用任何 Amazon ML 動作。由於此政策會授予您所有機器學習資源的完整存取權,因此僅限管理員使用。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "machinelearning:*" ], "Resource": [ "*" ] }] }
