Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengisolasi sumber daya domain
**penting**
Kebijakan IAM khusus yang memungkinkan Amazon SageMaker Studio atau Amazon SageMaker Studio Classic membuat SageMaker sumber daya Amazon juga harus memberikan izin untuk menambahkan tag ke sumber daya tersebut. Izin untuk menambahkan tag ke sumber daya diperlukan karena Studio dan Studio Classic secara otomatis menandai sumber daya apa pun yang mereka buat. Jika kebijakan IAM memungkinkan Studio dan Studio Classic membuat sumber daya tetapi tidak mengizinkan penandaan, kesalahan "AccessDenied" dapat terjadi saat mencoba membuat sumber daya. Untuk informasi selengkapnya, lihat [Berikan izin untuk menandai sumber daya AI SageMaker](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS kebijakan terkelola untuk Amazon SageMaker AI](security-iam-awsmanpol.md)yang memberikan izin untuk membuat SageMaker sumber daya sudah menyertakan izin untuk menambahkan tag saat membuat sumber daya tersebut.
Anda dapat mengisolasi sumber daya antara masing-masing domain di akun Anda dan Wilayah AWS menggunakan kebijakan AWS Identity and Access Management (IAM). Sumber daya yang terisolasi tidak akan lagi diakses dari domain lain. Dalam topik ini kita akan membahas kondisi yang diperlukan untuk kebijakan IAM dan bagaimana menerapkannya.
Sumber daya yang dapat diisolasi oleh kebijakan ini adalah jenis sumber daya yang memiliki kunci kondisi yang berisi `aws:ResourceTag/${TagKey}` atau`sagemaker:ResourceTag/${TagKey}`. Untuk referensi tentang sumber daya SageMaker AI dan kunci kondisi terkait, lihat [Tindakan, sumber daya, dan kunci kondisi untuk Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html).
**Awas**
Jenis sumber daya yang *tidak* berisi kunci kondisi di atas (dan karenanya [Tindakan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) yang menggunakan tipe sumber daya) *tidak* terpengaruh oleh kebijakan isolasi sumber daya ini. Misalnya, tipe sumber [daya eksekusi pipeline *tidak*](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-pipeline-execution) berisi kunci kondisi di atas dan *tidak terpengaruh oleh kebijakan* ini. Oleh karena itu, berikut ini adalah beberapa tindakan, dengan tipe sumber daya eksekusi pipeline, *tidak* didukung untuk isolasi sumber daya:
DescribePipelineExecution
StopPipelineExecution
UpdatePipelineExecution
RetryPipelineExecution
DescribePipelineDefinitionForExecution
ListPipelineExecutionSteps
SendPipelineExecutionStepSuccess
SendPipelineExecutionStepFailure
Topik berikut menunjukkan cara membuat kebijakan IAM baru yang membatasi akses ke sumber daya di domain ke profil pengguna dengan tag domain, serta cara melampirkan kebijakan ini ke peran eksekusi IAM domain. Anda harus mengulangi proses ini untuk setiap domain di akun Anda. Untuk informasi selengkapnya tentang tag domain dan pengisian ulang tag ini, lihat [Ikhtisar beberapa domain](domain-multiple.md)
## Konsol
Bagian berikut menunjukkan cara membuat kebijakan IAM baru yang membatasi akses ke sumber daya di domain ke profil pengguna dengan tag domain, serta cara melampirkan kebijakan ini ke peran eksekusi IAM domain, dari konsol Amazon SageMaker AI.
**catatan**
Kebijakan ini hanya berfungsi di domain yang menggunakan Amazon SageMaker Studio Classic sebagai pengalaman default.
1. Buat kebijakan IAM bernama `StudioDomainResourceIsolationPolicy-domain-id` dengan dokumen kebijakan JSON berikut dengan menyelesaikan langkah-langkah dalam [Membuat kebijakan IAM (](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)konsol).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. Lampirkan `StudioDomainResourceIsolationPolicy-domain-id` kebijakan ke peran eksekusi domain dengan menyelesaikan langkah-langkah dalam [Memodifikasi peran (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy).
## AWS CLI
Bagian berikut menunjukkan cara membuat kebijakan IAM baru yang membatasi akses ke sumber daya di domain ke profil pengguna dengan tag domain, serta cara melampirkan kebijakan ini ke peran eksekusi domain, dari AWS CLI.
**catatan**
Kebijakan ini hanya berfungsi di domain yang menggunakan Amazon SageMaker Studio Classic sebagai pengalaman default.
1. Buat file bernama `StudioDomainResourceIsolationPolicy-domain-id` dengan konten berikut dari mesin lokal Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. Buat kebijakan IAM baru menggunakan `StudioDomainResourceIsolationPolicy-domain-id` file.
```
aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id
```
1. Lampirkan kebijakan yang baru dibuat ke peran baru atau yang sudah ada yang digunakan sebagai peran eksekusi domain.
```
aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role
```