多模型端點安全

多模型端點中的模型和資料共同位於執行個體儲存磁碟區和容器記憶體中。Amazon SageMaker 端點的所有執行個體都會在您擁有的單一租用戶容器上執行。只有您的模型才能在您的多模型端點上執行。您有責任管理對模型的請求映射，並為使用者提供對正確目標模型的存取權。 SageMaker 使用IAM角色來提供身分IAM型政策，以指定允許或拒絕的動作和資源，以及允許或拒絕動作的條件。

根據預設，具有多模型端點InvokeEndpoint許可的IAM主體可以在CreateModel操作中定義的 S3 字首地址叫用任何模型，前提是在操作中定義的IAM執行角色具有下載模型的許可。如果您需要限制 InvokeEndpoint 存取 S3 的一組有限模型，您可以執行下列其中一項操作：

使用 sagemaker:TargetModel IAM 條件金鑰，限制對端點託管的特定模型的InvokeEndpont呼叫。例如，下列政策只有在 TargetModel 欄位的值符合其中一個指定常規表達式時，才能允許 InvokeEndpont 請求：


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sagemaker:InvokeEndpoint"
            ],
            "Effect": "Allow",
            "Resource":
            "arn:aws:sagemaker:region:account-id:endpoint/endpoint_name",
            "Condition": {
                // TargetModel provided must be from this set of values
                "StringLike": {
                    "sagemaker:TargetModel": ["company_a/*", "common/*"]
                }
            }
        }
    ]
}

如需 SageMaker 條件金鑰的相關資訊，請參閱 AWS Identity and Access Management 使用者指南 中的 Amazon 條件金鑰 SageMaker。

建立具有更多限制性 S3 字首的多模型端點。

如需如何使用 SageMaker 角色來管理端點存取並代表您執行操作的詳細資訊，請參閱如何使用 SageMaker 執行角色。您的客戶也可能有某些資料隔離要求，這些要求是由他們自己的合規要求所決定，可以使用IAM身分來滿足。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

API 容器合約

CloudWatch 多模型端點部署的指標