多模型端點安全

多模型端點中的模型和資料共同位於執行個體儲存磁碟區和容器記憶體中。Amazon SageMaker AI 端點的所有執行個體都會在您擁有的單一租用戶容器上執行。只有您的模型才能在您的多模型端點上執行。您有責任管理請求與模型的對應，並向使用者提供正確目標模型的存取權。SageMaker AI 使用 IAM 角色來提供 IAM 身分型政策，讓您用來指定允許或拒絕的動作和資源，以及允許或拒絕動作的條件。

根據預設，具多模型端點 InvokeEndpoint 許可的 IAM 主體可在 S3 字首位址 (定義於 CreateModel 操作) 調用任何模型，前提是操作所定義的 IAM 執行角色具下載模型的權限。如果您需要限制 InvokeEndpoint 存取 S3 的一組有限模型，您可以執行下列其中一項操作：

使用 sagemaker:TargetModel IAM 條件金鑰，限制 InvokeEndpont 呼叫為託管於端點的特定模型。例如，下列政策只有在 TargetModel 欄位的值符合其中一個指定常規表達式時，才能允許 InvokeEndpont 請求：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sagemaker:InvokeEndpoint"
            ],
            "Effect": "Allow",
            "Resource":
            "arn:aws:sagemaker:region:account-id:endpoint/endpoint_name",
            "Condition": {
                // TargetModel provided must be from this set of values
                "StringLike": {
                    "sagemaker:TargetModel": ["company_a/*", "common/*"]
                }
            }
        }
    ]
}

如需 SageMaker AI 條件金鑰的相關資訊，請參閱AWS Identity and Access Management 《使用者指南》中的 Amazon SageMaker AI 的條件金鑰。

建立具有更多限制性 S3 字首的多模型端點。

如需 SageMaker AI 如何使用角色來管理端點存取並代表您執行操作的詳細資訊，請參閱如何使用 SageMaker AI 執行角色。客戶可能也有各自的合規要求所指定的某些資料隔離需求，這些需求可透過 IAM 身分達成。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

API 容器合約

多模型端點部署的 CloudWatch 指標