Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Isolieren von Domainressourcen
**Wichtig**
Benutzerdefinierte IAM-Richtlinien, die es Amazon SageMaker Studio oder Amazon SageMaker Studio Classic ermöglichen, SageMaker Amazon-Ressourcen zu erstellen, müssen auch Berechtigungen zum Hinzufügen von Tags zu diesen Ressourcen gewähren. Die Berechtigung zum Hinzufügen von Tags zu Ressourcen ist erforderlich, da Studio und Studio Classic automatisch alle von ihnen erstellten Ressourcen taggen. Wenn eine IAM-Richtlinie Studio und Studio Classic das Erstellen von Ressourcen, aber kein Tagging erlaubt, können "AccessDenied" Fehler beim Versuch, Ressourcen zu erstellen, auftreten. Weitere Informationen finden Sie unter [Erteilen Sie Berechtigungen für das Taggen von SageMaker KI-Ressourcen](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS verwaltete Richtlinien für Amazon SageMaker AI](security-iam-awsmanpol.md)die Berechtigungen zum Erstellen von SageMaker Ressourcen gewähren, beinhalten bereits Berechtigungen zum Hinzufügen von Tags beim Erstellen dieser Ressourcen.
Sie können Ressourcen zwischen den einzelnen Domänen in Ihrem Konto isolieren und dabei eine AWS Identity and Access Management (IAM-) Richtlinie AWS-Region verwenden. Auf die isolierten Ressourcen wird nicht mehr von anderen Domains aus zugegriffen. In diesem Thema werden wir die Voraussetzungen für die IAM-Richtlinie und deren Anwendung besprechen.
Die Ressourcen, die durch diese Richtlinie isoliert werden können, sind die Ressourcentypen, deren Bedingungsschlüssel `aws:ResourceTag/${TagKey}` oder `sagemaker:ResourceTag/${TagKey}` enthalten. Eine Referenz zu den SageMaker KI-Ressourcen und den zugehörigen Bedingungsschlüsseln finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html).
**Warnung**
Die Ressourcentypen, die die oben genannten Bedingungsschlüssel *nicht* enthalten (und somit die [Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions), die die Ressourcentypen verwenden), sind von dieser Richtlinie zur Ressourcenisolierung *nicht* betroffen. Beispielsweise enthält der Ressourcentyp [pipeline-execution](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-pipeline-execution) die oben genannten Bedingungsschlüssel *nicht* und ist von dieser Richtlinie *nicht* betroffen. Daher werden die folgenden Aktionen mit dem Ressourcentyp „pipeline-execution“ für die Ressourcenisolierung *nicht* unterstützt:
DescribePipelineExecution
StopPipelineExecution
UpdatePipelineExecution
RetryPipelineExecution
DescribePipelineDefinitionForExecution
ListPipelineExecutionSteps
SendPipelineExecutionStepSuccess
SendPipelineExecutionStepFailure
Das folgende Thema zeigt, wie Sie eine neue IAM-Richtlinie erstellen, die den Zugriff auf Ressourcen in der Domain auf Benutzerprofile mit dem Domain-Tag beschränkt, und wie Sie diese Richtlinie der IAM-Ausführungsrolle der Domain zuordnen. Sie müssen diesen Vorgang für jede Domain in Ihrem Konto wiederholen. Weitere Informationen zu Domain-Tags und zum Auffüllen dieser Tags finden Sie unter [Übersicht über mehrere Domains](domain-multiple.md)
## Konsole
Der folgende Abschnitt zeigt, wie Sie eine neue IAM-Richtlinie erstellen, die den Zugriff auf Ressourcen in der Domain auf Benutzerprofile mit dem Domain-Tag beschränkt, und wie Sie diese Richtlinie über die Amazon SageMaker AI-Konsole an die IAM-Ausführungsrolle der Domain anhängen.
**Anmerkung**
Diese Richtlinie funktioniert nur in Domains, die Amazon SageMaker Studio Classic als Standarderlebnis verwenden.
1. Erstellen Sie eine IAM-Richtlinie `StudioDomainResourceIsolationPolicy-domain-id` mit dem Namen des folgenden JSON-Richtliniendokuments, indem Sie die Schritte unter [Erstellen der IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) ausführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. Ordnen Sie die `StudioDomainResourceIsolationPolicy-domain-id`-Richtlinie der Ausführungsrolle der Domain zu, indem Sie die Schritte unter [Ändern einer Rolle (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) ausführen.
## AWS CLI
Im folgenden Abschnitt wird gezeigt, wie Sie eine neue IAM-Richtlinie erstellen, die den Zugriff auf Ressourcen in der Domain auf Benutzerprofile mit dem Domain-Tag beschränkt, und wie Sie diese Richtlinie der Ausführungsrolle der Domain zuordnen, und zwar über den AWS CLI.
**Anmerkung**
Diese Richtlinie funktioniert nur in Domains, die Amazon SageMaker Studio Classic als Standarderlebnis verwenden.
1. Erstellen Sie eine lokale Datei mit dem Namen `StudioDomainResourceIsolationPolicy-domain-id` und den folgenden Inhalten:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. So erstellen Sie eine IAM-Richtlinie mithilfe der `StudioDomainResourceIsolationPolicy-domain-id`.
```
aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id
```
1. Ordnen Sie die neu erstellte Richtlinie einer neuen oder vorhandenen Rolle zu, die als Ausführungsrolle der Domain verwendet wird.
```
aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role
```