Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura la sicurezza in Amazon SageMaker AI
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per maggiori informazioni sui programmi di conformità che si applicano ad Amazon SageMaker AI, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi l' SageMaker IA. I seguenti argomenti mostrano come configurare l' SageMaker intelligenza artificiale per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse di SageMaker intelligenza artificiale.
**Topics**
+ [Privacy dei dati in Amazon SageMaker AI](data-privacy.md)
+ [Protezione dei dati in Amazon SageMaker AI](data-protection.md)
+ [AWS Identity and Access Management per Amazon SageMaker AI](security-iam.md)
+ [Registrazione e monitoraggio](sagemaker-incident-response.md)
+ [Convalida della conformità per Amazon SageMaker AI](sagemaker-compliance.md)
+ [Resilienza nell'IA di Amazon SageMaker](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in Amazon SageMaker AI](infrastructure-security.md)
# Privacy dei dati in Amazon SageMaker AI
Amazon SageMaker AI raccoglie informazioni aggregate sull'uso di librerie di AWS proprietà e open source utilizzate durante la formazione. SageMaker L'intelligenza artificiale utilizza questi metadati aggregati per migliorare i servizi e l'esperienza dei clienti.
Le sezioni seguenti forniscono spiegazioni sul tipo di metadati raccolti dall' SageMaker IA e su come disattivare la raccolta di metadati.
## Tipo di informazioni da raccogliere
**Informazioni di utilizzo**
Metadati provenienti da librerie AWS di proprietà e open source utilizzate per la SageMaker formazione, come quelle utilizzate per l'addestramento distribuito, la compilazione e la quantizzazione.
**Errori**
Errori dovuti a comportamenti imprevisti, tra cui guasti, arresti anomali, interruzioni a cascata e guasti derivanti dall'interazione con la piattaforma di formazione. SageMaker
## Come scegliere di non aderire alla raccolta di metadati
Puoi scegliere di non condividere i metadati aggregati con la SageMaker formazione quando crei un lavoro di formazione utilizzando l'API. `CreateTrainingJob` Se utilizzi la console per creare job di addestramento, la raccolta di metadati è disabilitata per impostazione predefinita.
**Importante**
Devi scegliere di non aderire alla raccolta di metadati per ogni job di addestramento inviato. Devi anche scegliere l’opzione di non adesione in una chiamata API, come mostrato negli esempi seguenti. Non puoi scegliere l’opzione di non adesione all’interno di uno script di addestramento.
La sezione seguente mostra come disattivare la raccolta di metadati utilizzando AWS CLI AWS SDK per Python (Boto3), o l'SDK SageMaker Python.
### Disattiva la raccolta di metadati utilizzando () AWS Command Line Interface AWS CLI
Per disattivare la raccolta di metadati utilizzando il AWS CLI, impostate la variabile di ambiente `OPT_OUT_TRACKING` su `1` nell'`create-training-job`API, come mostrato nel seguente esempio di codice.
```
aws sagemaker create-training-job \
--training-job-name your_job_name \
--algorithm-specification AlgorithmName=your_algorithm_name\
--output-data-config S3OutputPath=s3://bucket-name/key-name-prefix \
--resource-config InstanceType=ml.c5.xlarge, InstanceCount=1 \
--stopping-condition MaxRuntimeInSeconds=100 \
--environment OPT_OUT_TRACKING=1
```
### Disattiva la raccolta di metadati utilizzando il AWS SDK per Python (Boto3)
Per scegliere di non aderire alla raccolta di metadati con SDK per Python (Boto3), imposta la variabile di ambiente `OPT_OUT_TRACKING` su `1` nell’API `create_training_job`, come mostrato nell’esempio di codice seguente.
```
boto3.client('sagemaker').create_training_job(
TrainingJobName='your_training_job',
AlgorithmSpecification={
'AlgorithmName': 'your_algorithm_name',
'TrainingInputMode': 'File',
},
RoleArn='your_arn',
OutputDataConfig={
'S3OutputPath': 's3://bucket-name/key-name-prefix',
},
ResourceConfig={
'InstanceType': 'ml.m4.xlarge',
'InstanceCount': 1,
'VolumeSizeInGB': 123,
},
StoppingCondition={
'MaxRuntimeInSeconds': 123,
},
Environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Disattiva la raccolta di metadati utilizzando SageMaker Python SDK
Per disattivare la raccolta di metadati utilizzando SageMaker Python SDK, imposta la `OPT_OUT_TRACKING` variabile `1` di ambiente all'interno di SageMaker uno stimatore AI, come mostrato nel seguente esempio di codice.
```
sagemaker.estimator(
image_uri='path_to_container',
role='rolearn',
instance_count=1,
instance_type='ml.c5.xlarge',
environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Scelta dell’opzione di non adesione alla raccolta di metadati a livello di account
Per non aderire alla raccolta di metadati per diversi account, puoi impostare una variabile di ambiente per scegliere l’opzione di non adesione al monitoraggio in tutto l’account. È necessario utilizzare SageMaker AI Python SDK per disattivare la raccolta di metadati a livello di account.
L’esempio di codice seguente mostra come scegliere di non aderire al monitoraggio a livello di account.
```
SchemaVersion: '1.0'
SageMaker:
TrainingJob:
Environment:
'OPT_OUT_TRACKING': '1'
```
Per ulteriori informazioni su come disattivare il tracciamento a livello di account, consulta [Configurazione e utilizzo delle impostazioni predefinite con](https://sagemaker.readthedocs.io/en/stable/overview.html#id22) Python SDK. SageMaker
## Informazioni aggiuntive
**Se il servizio downstream dipende dall'addestramento basato sull'intelligenza artificiale SageMaker **
Se gestisci un servizio che si basa sulla SageMaker formazione, ti consigliamo vivamente di informare il cliente sulla raccolta di metadati aggregati nella piattaforma di SageMaker formazione e di offrire loro la possibilità di rinunciare. In alternativa, puoi scegliere di non aderire alla raccolta di metadati per conto del tuo cliente.
**Se sei un cliente o un cliente di un servizio che utilizza la formazione basata sull'intelligenza artificiale SageMaker **
Se sei un cliente o un cliente di un servizio che utilizza la SageMaker formazione, utilizza il metodo preferito nella sezione precedente per disattivare la raccolta di metadati.
# Protezione dei dati in Amazon SageMaker AI
Il modello di [responsabilità AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in Amazon SageMaker AI. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Amazon SageMaker AI o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
**Topics**
+ [Protezione dei dati inattivi mediante crittografia](encryption-at-rest.md)
+ [Protezione dei dati in transito con la crittografia](encryption-in-transit.md)
+ [Gestione delle chiavi](key-management.md)
+ [Riservatezza del traffico Internet](inter-network-privacy.md)
# Protezione dei dati inattivi mediante crittografia
Amazon SageMaker AI crittografa automaticamente i tuoi dati utilizzando un programma Chiave gestita da AWS per Amazon S3 (SSE-S3) per impostazione predefinita per le seguenti funzionalità: notebook Studio, istanze di notebook, dati per la creazione di modelli, artefatti del modello e output dei processi di Training, Batch Transform ed Processing.
Per l'accesso su più account, è necessario specificare la propria chiave gestita dal cliente durante la creazione di risorse SageMaker AI, poiché l'impostazione predefinita Chiave gestita da AWS per Amazon S3 non può essere condivisa tra account. Per l’output dei dati su Amazon S3 Express One Zone viene utilizzata la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). Inoltre, i dati in uscita verso i bucket di directory Amazon S3 non possono essere crittografati con la crittografia lato server tramite AWS Key Management Service chiavi (SSE-KMS). [Per ulteriori informazioni su, consulta What is? AWS KMSAWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Topics**
+ [Notebook Studio](encryption-at-rest-studio.md)
+ [Istanze di notebook, job SageMaker AI ed endpoint](encryption-at-rest-nbi.md)
+ [SageMaker funzionalità geospaziali](geospatial-encryption-at-rest.md)
# Notebook Studio
In Amazon SageMaker Studio, i notebook e i dati di SageMaker Studio possono essere archiviati nelle seguenti posizioni:
+ Un bucket S3: quando esegui l'onboarding a Studio e abiliti risorse notebook condivisibili, l' SageMaker intelligenza artificiale condivide istantanee e metadati dei notebook in un bucket Amazon Simple Storage Service (Amazon S3).
+ Un volume EFS: quando effettui l'onboarding su Studio, SageMaker AI collega un volume Amazon Elastic File System (Amazon EFS) al tuo dominio per archiviare i notebook e i file di dati di Studio. Il volume EFS persiste dopo l'eliminazione del dominio.
+ Un volume EBS: quando si apre un notebook in Studio, un Amazon Elastic Block Store (Amazon EBS) viene collegato all'istanza su cui gira il notebook. Il volume EBS persiste per tutta la durata dell'istanza.
SageMaker L'intelligenza artificiale utilizza AWS Key Management Service (AWS KMS) per crittografare il bucket S3 e entrambi i volumi. Per impostazione predefinita, utilizza una chiave KMS gestita in un account di servizio AWS . Per un maggiore controllo, puoi specificare la tua chiave gestita dal cliente al momento dell'accesso a Studio o tramite l'API. SageMaker Per ulteriori informazioni, consultare [Panoramica del dominio Amazon SageMaker AI](gs-studio-onboard.md) e [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
Nell'`CreateDomain`API, si utilizza il parametro `S3KmsKeyId` per specificare la chiave gestita dal cliente per i notebook condivisibili. Il parametro `KmsKeyId` viene utilizzato per specificare la chiave gestita dal cliente per i volumi EFS ed EBS. La stessa chiave gestita dal cliente viene utilizzata per entrambi i volumi. La chiave gestita dal cliente per i notebook condivisibili può essere la stessa chiave gestita dal cliente utilizzata per i volumi o una chiave gestita dal cliente diversa.
**Importante**
La directory di lavoro degli utenti all’interno del volume di archiviazione è `/home/sagemaker-user`. Se specifichi la tua AWS KMS chiave, tutto ciò che si trova nella directory di lavoro viene crittografato utilizzando la chiave gestita dal cliente. Se non specifichi una AWS KMS chiave, i dati all'interno `/home/sagemaker-user` vengono crittografati con una chiave AWS gestita. Indipendentemente dal fatto che venga specificata una AWS KMS chiave, tutti i dati al di fuori della directory di lavoro vengono crittografati con una chiave AWS gestita.
# Istanze di notebook, job SageMaker AI ed endpoint
Per crittografare il volume di archiviazione di machine learning (ML) collegato a notebook, processi di elaborazione, lavori di formazione, processi di ottimizzazione iperparametrica, processi di trasformazione in batch ed endpoint, puoi passare una chiave all'intelligenza artificiale. AWS KMS SageMaker Se non si specifica una chiave KMS, l' SageMaker intelligenza artificiale crittografa i volumi di archiviazione con una chiave transitoria e li scarta immediatamente dopo la crittografia del volume di archiviazione. Per le istanze notebook, se non si specifica una chiave KMS, l' SageMaker IA crittografa sia i volumi del sistema operativo che i volumi di dati ML con una chiave KMS gestita dal sistema.
È possibile utilizzare una AWS KMS chiave AWS gestita per crittografare tutti i volumi del sistema operativo dell'istanza. Puoi crittografare tutti i volumi di dati ML per tutte le istanze SageMaker AI con una AWS KMS chiave specificata dall'utente. I volumi di storage ML sono montati come segue:
+ Notebook - `/home/ec2-user/SageMaker`
+ Elaborazione – `/opt/ml/processing` e `/tmp/`
+ Addestramento - `/opt/ml/` e `/tmp/`
+ Batch - `/opt/ml/` e `/tmp/`
+ Endpoint - `/opt/ml/` e `/tmp/`
I container di attività in batch, di elaborazione e di addestramento e il relativo storage sono di natura effimera. Al termine del processo, l'output viene caricato su Amazon S3 AWS KMS utilizzando la crittografia con una chiave AWS KMS opzionale specificata e l'istanza viene disattivata. Se nella richiesta di lavoro non viene fornita una AWS KMS chiave, SageMaker AI utilizza la AWS KMS chiave predefinita per Amazon S3 per l'account del tuo ruolo. Se i dati di output sono archiviati in Amazon S3 Express One Zone, vengono crittografati con la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). La crittografia lato server con AWS KMS chiavi (SSE-KMS) non è attualmente supportata per l'archiviazione dei dati di output SageMaker AI nei bucket di directory Amazon S3.
**Nota**
La politica chiave per una chiave AWS gestita per Amazon S3 non può essere modificata, quindi non è possibile concedere autorizzazioni su più account per queste politiche chiave. Se il bucket Amazon S3 di output per la richiesta proviene da un altro account, specifica la tua chiave AWS KMS cliente nella richiesta di lavoro e assicurati che il ruolo di esecuzione del lavoro disponga delle autorizzazioni per crittografare i dati con essa.
**Importante**
I dati sensibili che devono essere crittografati con una chiave KMS per motivi di conformità devono essere archiviati nel volume di storage ML o in Amazon S3, entrambi possono essere crittografati utilizzando una chiave KMS specificata.
Quando apri un'istanza notebook, per SageMaker impostazione predefinita AI la salva insieme ai file ad essa associati nella cartella SageMaker AI del volume di archiviazione ML. Quando si interrompe un'istanza notebook, SageMaker AI crea un'istantanea del volume di archiviazione ML. Tutte le personalizzazioni del sistema operativo dell'istanza interrotta, come le librerie personalizzate installate o le impostazioni a livello di sistema operativo, salvate all'esterno della cartella `/home/ec2-user/SageMaker` vengono perse. Si consiglia di utilizzare una configurazione del ciclo di vita per automatizzare le personalizzazioni dell'istanza del notebook predefinita. Quando si termina un'istanza, lo snapshot e il volume di storage ML vengono eliminati. Tutti i dati che devi mantenere oltre la durata di vita dell'istanza del notebook devono essere trasferiti in un bucket Amazon S3.
Se l'istanza del notebook non è aggiornata e utilizza software non sicuro, l' SageMaker IA potrebbe aggiornare periodicamente l'istanza come parte della manutenzione regolare. Durante questi aggiornamenti, i dati esterni alla cartella non `/home/ec2-user/SageMaker` vengono mantenuti. Per informazioni sulle patch di manutenzione e sicurezza, vedere. [Maintenance (Manutenzione)](nbi.md#nbi-maintenance)
**Nota**
Alcune istanze SageMaker AI basate su Nitro includono l'archiviazione locale, a seconda del tipo di istanza. I volumi di storage locale vengono crittografati utilizzando un modulo hardware sull'istanza. Non è possibile utilizzare una chiave KMS in un tipo di istanza con storage locale. Per un elenco dei tipi di istanza che supportano lo storage locale dell'istanza, consulta [Volumi dell'instance store](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes). Per ulteriori informazioni sui volumi di storage sulle istanze basate su Nitro, [consulta Amazon EBS e NVMe sulle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html) istanze Linux.
Per ulteriori informazioni sulla crittografia dello storage dell'istanza locale, consulta [Volumi di instance store SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
# SageMaker funzionalità geospaziali
Puoi proteggere i tuoi dati inattivi utilizzando la crittografia geospaziale. SageMaker
**Crittografia lato server con chiave SageMaker geospaziale di proprietà di Amazon (impostazione predefinita)**
Le funzionalità SageMaker geospaziali di Amazon crittografano tutti i tuoi dati, inclusi i risultati computazionali dei tuoi `EarthObservationJobs` e di tutti i metadati del tuo `VectorEnrichmentJobs` servizio. Non ci sono dati archiviati in Amazon SageMaker AI non crittografati. Utilizza un'impostazione predefinita Chiave di proprietà di AWS per crittografare tutti i tuoi dati.
**Crittografia lato server con chiavi KMS archiviate in (SSE-KMS) AWS Key Management Service**
Le funzionalità SageMaker geospaziali di Amazon supportano la crittografia utilizzando una chiave KMS di proprietà del cliente. Per ulteriori informazioni, consulta [Usa le AWS KMS autorizzazioni per le funzionalità SageMaker geospaziali di Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/geospatial-kms.html).
# Protezione dei dati in transito con la crittografia
Tutti i dati in transito tra reti supportano la crittografia TLS 1.2. Ti consigliamo di utilizzare TLS 1.3.
Con Amazon SageMaker AI, gli artefatti del modello di machine learning (ML) e altri artefatti di sistema vengono crittografati in transito e a riposo. Le richieste all'API e alla console SageMaker AI vengono effettuate tramite una connessione sicura (SSL). Trasmetti AWS Identity and Access Management ruoli all' SageMaker IA per fornire le autorizzazioni per accedere alle risorse per tuo conto per la formazione e l'implementazione.
Alcuni dati in transito tra reti (all'interno della piattaforma del servizio) sono non crittografati. Questo include:
+ Comunicazioni di comando e controllo tra il piano di controllo del servizio e le istanze del processo di addestramento (non i dati del cliente).
+ Comunicazioni tra nodi in attività di elaborazione distribuite (tra reti).
+ Comunicazioni tra nodi in processi di addestramento distribuiti (tra reti).
Non esistono comunicazioni tra nodi per l'elaborazione in batch.
Puoi scegliere di crittografare la comunicazione tra i nodi in un cluster di job di training e in un cluster di job di elaborazione.
**Nota**
Per i casi d'uso nel settore sanitario, la migliore pratica per la sicurezza consiste nel crittografare la comunicazione tra i nodi.
Per ulteriori informazioni su come crittografare le comunicazioni, consulta l'argomento successivo su [Protezione delle comunicazioni tra istanze di calcolo ML in un processo di addestramento distribuito](train-encrypt.md).
**Nota**
L'abilitazione della crittografia del traffico tra container può incrementare il tempo di addestramento, soprattutto se si utilizzano algoritmi di deep learning distribuiti. Per gli algoritmi interessati, l'aggiunta di questo ulteriore livello di sicurezza incrementa anche i costi. I tempi di addestramento per la maggior parte degli algoritmi integrati nell' SageMaker intelligenza artificiale XGBoost, come DeepAr e linear learner, in genere non sono influenzati.
Gli endpoint convalidati FIPS sono disponibili per l'API SageMaker AI e il router di richiesta per i modelli ospitati (runtime). Per informazioni sugli endpoint conformi a FIPS, consulta [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
## Proteggi le comunicazioni con RStudio Amazon SageMaker AI
RStudio su Amazon SageMaker AI fornisce la crittografia per tutte le comunicazioni che coinvolgono componenti SageMaker AI. Tuttavia, la versione precedente non supportava la crittografia tra le RSession app RStudio ServerPro e.
RStudio ha rilasciato la versione 2022.02.2-485.pro2 nell'aprile 2022. Questa versione supporta la crittografia tra e app per abilitare la crittografia. RStudio ServerPro RSession end-to-end L'aggiornamento della versione, tuttavia, non è completamente compatibile con le versioni precedenti. Di conseguenza, devi aggiornare tutte le tue RSession app RStudio ServerPro e le tue. Per informazioni su come aggiornare le app, consulta [RStudio Controllo delle versioni](rstudio-version.md).
# Protezione delle comunicazioni tra istanze di calcolo ML in un processo di addestramento distribuito
Per impostazione predefinita, Amazon SageMaker AI esegue lavori di formazione in un Amazon Virtual Private Cloud (Amazon VPC) per proteggere i tuoi dati. Puoi aggiungere un altro livello di sicurezza per proteggere i container e i dati di addestramento configurando un VPC *privato*. I framework e gli algoritmi ML distribuiti trasmettono in genere informazioni che sono direttamente correlate al modello, come i pesi, non il set di dati di addestramento. Durante l'esecuzione dell’addestramento distribuito, puoi proteggere ulteriormente i dati che vengono trasmessi tra le istanze. Questo consente di soddisfare i requisiti normativi. A questo scopo, utilizza la crittografia del traffico tra container.
**Nota**
Per i casi d'uso nel settore sanitario, la migliore pratica per la sicurezza consiste nel crittografare la comunicazione tra i nodi.
L'abilitazione della crittografia del traffico tra container può incrementare il tempo di addestramento, soprattutto se si utilizzano algoritmi di deep learning distribuiti. L'abilitazione della crittografia del traffico tra container non influenza i processi di addestramento con una singola istanza di calcolo. Tuttavia, per processi di addestramento con diverse istanze di calcolo, l'effetto sul tempo di addestramento dipende dal numero di comunicazioni tra istanze di calcolo. Per gli algoritmi interessati, l'aggiunta di questo ulteriore livello di sicurezza incrementa anche i costi. I tempi di addestramento per la maggior parte degli algoritmi integrati nell' SageMaker intelligenza artificiale XGBoost, come DeepAr e linear learner, in genere non sono influenzati.
Puoi abilitare la crittografia del traffico tra container per processi di addestramento o processi di ottimizzazione iperparametri. Puoi utilizzare la nostra console SageMaker APIs per abilitare la crittografia del traffico tra container.
Per informazioni sull'esecuzione di processi di addestramento in un VPC privato, consulta [Offri SageMaker ai corsi di formazione sull'intelligenza artificiale l'accesso alle risorse nel tuo Amazon VPC](train-vpc.md).
## Abilitazione della crittografia del traffico tra container (API)
Prima di abilitare la crittografia del traffico tra container durante i lavori di formazione o di ottimizzazione degli iperparametri APIs, aggiungi le regole in entrata e in uscita al gruppo di sicurezza del tuo VPC privato.
**Per abilitare la crittografia del traffico tra container (API)**
1. Aggiungere le seguenti regole in entrata e in uscita nel gruppo di sicurezza per il VPC privato:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/train-encrypt.html)
1. Quando si invia una richiesta all'API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) o [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), specificare `True` per il parametro `EnableInterContainerTrafficEncryption`.
**Nota**
Per il `ESP 50` protocollo, la AWS Security Group Console potrebbe visualizzare l'intervallo di porte come «Tutte». Tuttavia, Amazon EC2 ignora l'intervallo di porte specificato perché non applicabile per il protocollo IP ESP 50.
## Abilitazione della crittografia del traffico tra container (console)
### Abilitazione della crittografia del traffico tra container in un processo di addestramento
**Per abilitare la crittografia del traffico tra container in un processo di addestramento**
1. Apri la console Amazon SageMaker AI all'indirizzo [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Nel riquadro di navigazione, scegliere **Addestramento**, quindi **Processi di addestramento**.
1. Scegliere **Crea processo di addestramento**.
1. In **Network (Rete)**, scegliere un **VPC**. È possibile utilizzare il VPC predefinito o uno creato in precedenza.
1. Scegliere **Enable inter-container traffic encryption (Abilita crittografia del traffico tra container)**.
Dopo aver abilitato la crittografia del traffico tra container, completare la creazione del processo di addestramento. Per ulteriori informazioni, consulta [Eseguire il training di un modello](ex1-train-model.md).
### Abilitazione della crittografia del traffico tra container in un processo di ottimizzazione iperparametri
**Per abilitare la crittografia del traffico tra container in un processo di ottimizzazione iperparametri**
1. Apri la console Amazon SageMaker AI all'indirizzo [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. Nel riquadro di navigazione, scegliere **Addestramento**, quindi selezionare **Hyperparameter tuning jobs (Processi di ottimizzazione iperparametri)**.
1. Scegli **Crea attività di ottimizzazione iperparametri**.
1. In **Network (Rete)**, scegliere un **VPC**. È possibile utilizzare il VPC predefinito o uno creato in precedenza.
1. Scegliere **Enable inter-container traffic encryption (Abilita crittografia del traffico tra container)**.
Dopo aver abilitato la crittografia del traffico tra container, completare la creazione del processo di ottimizzazione iperparametri. Per ulteriori informazioni, consulta [Configurare e avviare il processo di ottimizzazione degli iperparametri](automatic-model-tuning-ex-tuning-job.md).
# Gestione delle chiavi
I clienti possono specificare AWS KMS le chiavi, tra cui Bring Your Own Keys (BYOK), da utilizzare per la crittografia delle buste con input/output bucket Amazon S3 e volumi Amazon EBS di machine learning (ML). I volumi ML per istanze di notebook e per l'elaborazione, la formazione e i contenitori Docker con modelli ospitati possono essere crittografati opzionalmente utilizzando chiavi di proprietà del cliente. AWS KMS Tutti i volumi del sistema operativo delle istanze sono crittografati con una chiave gestita. AWS AWS KMS
**Nota**
Alcune istanze basate su Nitro includono storage locale, a seconda del tipo di istanza. I volumi di storage locale vengono crittografati utilizzando un modulo hardware sull'istanza. Non puoi richiedere un `VolumeKmsKeyId` quando utilizzi un tipo di istanza con storage locale.
Per un elenco dei tipi di istanza che supportano lo storage locale dell'istanza, consulta [Volumi dell'instance store](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes).
Per ulteriori informazioni sulla crittografia dello storage dell'istanza locale, consulta [Volumi di instance store SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
Per ulteriori informazioni sui volumi di storage sulle istanze basate su nitro, [consulta Amazon EBS e NVMe sulle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html) istanze Linux.
Per informazioni sulle AWS KMS chiavi, consulta [Cos'è AWS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) il servizio di gestione delle chiavi? nella *Guida per gli AWS Key Management Service sviluppatori*.
# Riservatezza del traffico Internet
Questo argomento descrive come Amazon SageMaker AI protegge le connessioni dal servizio ad altre località.
Le comunicazioni tra reti supportano la crittografia TLS 1.2 tra tutti i componenti e i client. È consigliabile TLS 1.3.
Le istanze possono essere connesse al VPC del cliente, fornendo l'accesso agli endpoint VPC S3 o ai repository del cliente. L'uscita Internet può essere gestita tramite questa interfaccia dal cliente se l'uscita Internet della piattaforma del servizio è disabilitata per i notebook. Per l’addestramento e l'hosting, l'uscita tramite la piattaforma del servizio non è disponibile quando è connessa al VPC del cliente.
Per impostazione predefinita, le chiamate API effettuate agli endpoint pubblicati attraversano la rete pubblica fino al router di richiesta. SageMaker L'intelligenza artificiale supporta gli endpoint dell'interfaccia Amazon Virtual Private Cloud basati su tecnologia AWS PrivateLink per la connettività privata tra il VPC del cliente e il router di richiesta per accedere agli endpoint del modello ospitato. Per ulteriori informazioni su Amazon VPC, consulta [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md).
# AWS Identity and Access Management per Amazon SageMaker AI
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse AI. SageMaker IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon SageMaker AI con IAM](security_iam_service-with-iam.md)
+ [Esempi di SageMaker policy basate sull'identità di Amazon AI](security_iam_id-based-policy-examples.md)
+ [Prevenzione del problema "confused deputy" tra servizi](security-confused-deputy-prevention.md)
+ [Come utilizzare i ruoli di esecuzione dell' SageMaker IA](sagemaker-roles.md)
+ [Gestore SageMaker ruoli Amazon](role-manager.md)
+ [Controllo degli accessi per i notebook](security-access-control.md)
+ [Autorizzazioni API Amazon SageMaker AI: riferimento ad azioni, autorizzazioni e risorse](api-permissions-reference.md)
+ [AWS politiche gestite per Amazon SageMaker AI](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon SageMaker AI con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di SageMaker policy basate sull'identità di Amazon AI](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon SageMaker AI con IAM
**Importante**
Le politiche IAM personalizzate che consentono ad Amazon SageMaker Studio o Amazon SageMaker Studio Classic di creare SageMaker risorse Amazon devono inoltre concedere le autorizzazioni per aggiungere tag a tali risorse. L’autorizzazione per aggiungere tag alle risorse è necessaria perché Studio e Studio Classic applicano automaticamente tag a tutte le risorse che creano. Se una policy IAM consente a Studio e Studio Classic di creare risorse ma non consente l'etichettatura, possono verificarsi errori AccessDenied "" durante il tentativo di creare risorse. Per ulteriori informazioni, consulta [Fornisci le autorizzazioni per etichettare SageMaker le risorse AI](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS politiche gestite per Amazon SageMaker AI](security-iam-awsmanpol.md)che danno i permessi per creare SageMaker risorse includono già le autorizzazioni per aggiungere tag durante la creazione di tali risorse.
Prima di utilizzare IAM per gestire l'accesso all' SageMaker IA, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con SageMaker l'IA. Per avere una visione di alto livello di come l' SageMaker IA e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_aws-services-that-work-with-iam.html) nel *Service Authorization Reference*.
**Topics**
+ [Policy basate sull'identità per Amazon AI SageMaker](#security_iam_service-with-iam-id-based-policies)
+ [Politiche basate sulle risorse all'interno di Amazon AI SageMaker](#security_iam_service-with-iam-resource-based-policies)
+ [Azioni politiche per Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-actions)
+ [Risorse relative alle policy per Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chiavi delle condizioni delle politiche per Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Autorizzazione basata su tag AI SageMaker](#security_iam_service-with-iam-tags)
+ [SageMaker Ruoli AI IAM](#security_iam_service-with-iam-roles)
## Policy basate sull'identità per Amazon AI SageMaker
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. SageMaker L'intelligenza artificiale supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Riferimenti agli elementi della policy JSON IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) in *Informazioni di riferimento sull’autorizzazione del servizio*.
## Politiche basate sulle risorse all'interno di Amazon AI SageMaker
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o servizi. AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. L’aggiunta di un’entità principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa si trovano in account AWS diversi, un amministratore IAM nell’account reso attendibile deve concedere all’entità principale (utente o ruolo) anche l’autorizzazione per accedere alla risorsa. L’autorizzazione viene concessa collegando all’entità una policy basata sull’identità. Tuttavia, se una policy basata su risorse concede l’accesso a un principale nello stesso account, non sono richieste ulteriori policy basate sull’identità. Per maggiori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
**Nota**
Utilizzalo [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)per condividere in modo sicuro le risorse AI supportate SageMaker . Per trovare l'elenco delle risorse condivisibili, consulta Risorse [Amazon SageMaker AI condivisibili](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
## Azioni politiche per Amazon SageMaker AI
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in SageMaker AI utilizzano il seguente prefisso prima dell'azione:. `sagemaker:` Ad esempio, per concedere a qualcuno il permesso di eseguire un processo di formazione sull' SageMaker intelligenza artificiale con l'operazione `CreateTrainingJob` API SageMaker AI, includi l'`sagemaker:CreateTrainingJob`azione nella sua politica. Le dichiarazioni politiche devono includere un `NotAction` elemento `Action` or. SageMaker L'intelligenza artificiale definisce una propria serie di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"sagemaker:action1",
"sagemaker:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "sagemaker:Describe*"
```
Per visualizzare un elenco di azioni SageMaker AI, consulta [Azioni, risorse e chiavi di condizione per Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) nel *Service Authorization Reference*.
## Risorse relative alle policy per Amazon SageMaker AI
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Le istruzioni devono includere un elemento `Resource` o un elemento `NotResource`. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come *autorizzazioni a livello di risorsa*.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse Amazon SageMaker AI e relativi ARNs, consulta i seguenti riferimenti per azioni, tipi di risorse e chiavi di condizione definiti da Amazon SageMaker AI nel *Service Authorization Reference*.
+ [Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)
+ [Funzionalità SageMaker geospaziali di Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)
+ [Amazon SageMaker Ground Truth sintetico](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergroundtruthsynthetic.html)
+ [Amazon SageMaker AI con MLflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakerwithmlflow.html)
Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon SageMaker ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) AI.
## Chiavi delle condizioni delle politiche per Amazon SageMaker AI
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
SageMaker L'IA definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, vedere [AWS Global Condition Context Keys](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_condition-keys.html) nel *Service Authorization Reference*.
SageMaker L'intelligenza artificiale supporta una serie di chiavi di condizione specifiche del servizio che puoi utilizzare per un controllo granulare degli accessi per le seguenti operazioni:
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html)
Per visualizzare un elenco di chiavi di condizione SageMaker AI, consulta [Condition keys for Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
Per esempi di utilizzo delle chiavi di condizione SageMaker AI, consulta quanto segue:[Controlla la creazione di risorse SageMaker AI con le chiavi di condizione](security_iam_id-based-policy-examples.md#sagemaker-condition-examples).
### Esempi
Per visualizzare esempi di politiche basate sull'identità dell' SageMaker IA, vedi. [Esempi di SageMaker policy basate sull'identità di Amazon AI](security_iam_id-based-policy-examples.md)
## Autorizzazione basata su tag AI SageMaker
Puoi allegare tag alle risorse SageMaker AI o passare i tag in una richiesta all' SageMaker IA. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `sagemaker:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse SageMaker AI, consulta[Controlla l'accesso alle risorse SageMaker AI utilizzando i tag](security_iam_id-based-policy-examples.md#access-tag-policy).
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Controlla l'accesso alle risorse SageMaker AI utilizzando i tag](security_iam_id-based-policy-examples.md#access-tag-policy).
## SageMaker Ruoli AI IAM
Un [ruolo IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con AI SageMaker
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
SageMaker L'intelligenza artificiale supporta l'utilizzo di credenziali temporanee.
### Ruoli collegati ai servizi
SageMaker L'intelligenza artificiale supporta parzialmente i ruoli [collegati ai servizi](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-linked-role). I ruoli collegati ai servizi sono attualmente disponibili per Studio Classic. SageMaker
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
SageMaker L'intelligenza artificiale supporta i ruoli di servizio.
### Scelta di un ruolo IAM nell' SageMaker IA
Quando crei un'istanza di notebook, un processo di elaborazione, un lavoro di formazione, un endpoint ospitato o una risorsa di lavoro di trasformazione in batch in SageMaker AI, devi scegliere un ruolo per consentire all' SageMaker IA di accedere all' SageMaker IA per tuo conto. Se in precedenza hai creato un ruolo di servizio o un ruolo collegato ai servizi, l' SageMaker intelligenza artificiale ti fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo che consenta l'accesso alle AWS operazioni e alle risorse necessarie. Per ulteriori informazioni, consulta [Come utilizzare i ruoli di esecuzione dell' SageMaker IA](sagemaker-roles.md).
# Esempi di SageMaker policy basate sull'identità di Amazon AI
Per impostazione predefinita, gli utenti e i ruoli IAM non sono autorizzati a creare o modificare risorse SageMaker AI. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi collegare queste policy a utenti o IAM che richiedono tali autorizzazioni. Per informazioni su come collegare le policy a un utente o gruppo IAM, consulta [Aggiunta e rimozione delle autorizzazioni di identità IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_manage-attach-detach.html) in *Informazioni di riferimento sull’autorizzazione del servizio*.
Per informazioni su come creare una policy IAM basata sull’identità utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_create.html#access_policies_create-json-editor).
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console AI SageMaker](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Controlla la creazione di risorse SageMaker AI con le chiavi di condizione](#sagemaker-condition-examples)
+ [Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità](#api-access-policy)
+ [Limita l'accesso all'API SageMaker AI e alle chiamate di runtime in base all'indirizzo IP](#api-ip-filter)
+ [Limitazione dell’accesso a un’istanza del notebook in base all’indirizzo IP](#nbi-ip-filter)
+ [Controlla l'accesso alle risorse SageMaker AI utilizzando i tag](#access-tag-policy)
+ [Fornisci le autorizzazioni per etichettare SageMaker le risorse AI](#grant-tagging-permissions)
+ [Limitazione dell’accesso alle risorse ricercabili con condizioni di visibilità](#limit-access-to-searchable-resources)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse di SageMaker intelligenza artificiale nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console AI SageMaker
Per accedere alla console Amazon SageMaker AI, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di SageMaker intelligenza artificiale presenti nel tuo AWS account. Se crei una policy di autorizzazione basata sull’identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità associate a tale policy, inclusi gli utenti o i ruoli.
Per garantire che tali entità possano ancora utilizzare la console SageMaker AI, è inoltre necessario allegare alle entità la seguente politica AWS gestita. Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/service-authorization/latest/reference/id_users_change-permissions.html#users_change_permissions-add-console) in *Informazioni di riferimento sull’autorizzazione del servizio*:
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
**Topics**
+ [Autorizzazioni necessarie per utilizzare la console Amazon SageMaker AI](#console-permissions)
+ [Autorizzazioni necessarie per utilizzare la console Amazon SageMaker Ground Truth](#groundtruth-console-policy)
+ [Autorizzazioni necessarie per utilizzare la console di Amazon Augmented AI (Anteprima)](#amazon-augmented-ai-console-policy)
### Autorizzazioni necessarie per utilizzare la console Amazon SageMaker AI
La tabella di riferimento delle autorizzazioni elenca le operazioni dell'API Amazon SageMaker AI e mostra le autorizzazioni richieste per ciascuna operazione. Per ulteriori informazioni sulle operazioni delle API Amazon SageMaker AI, consulta[Autorizzazioni API Amazon SageMaker AI: riferimento ad azioni, autorizzazioni e risorse](api-permissions-reference.md).
Per utilizzare la console Amazon SageMaker AI, devi concedere le autorizzazioni per azioni aggiuntive. In particolare, la console necessita di autorizzazioni che consentano alle `ec2` azioni di visualizzare sottoreti e gruppi di sicurezza VPCs. La console potrebbe richiedere l'autorizzazione per creare *ruoli di esecuzione* per attività come `CreateNotebook`, `CreateTrainingJob` e `CreateModel`. Concedi queste autorizzazioni con la seguente policy di autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "VpcConfigurationForCreateForms",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid":"KmsKeysForCreateForms",
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource":"*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListRepositories",
"codecommit:ListBranches",
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid":"ListAndCreateExecutionRoles",
"Effect":"Allow",
"Action":[
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource":"*"
},
{
"Sid": "DescribeECRMetaData",
"Effect": "Allow",
"Action": [
"ecr:Describe*"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
### Autorizzazioni necessarie per utilizzare la console Amazon SageMaker Ground Truth
Per utilizzare la console Amazon SageMaker Ground Truth, devi concedere le autorizzazioni per risorse aggiuntive. In particolare, la console necessita delle autorizzazioni per:
+ il AWS Marketplace per visualizzare gli abbonamenti,
+ Operazioni di Amazon Cognito per gestire la forza lavoro privata
+ Azioni di Amazon S3 per l’accesso ai file di input e output
+ AWS Lambda azioni per elencare e richiamare funzioni
Concedi queste autorizzazioni con la seguente policy di autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"groundtruthlabeling:DescribeConsoleJob",
"groundtruthlabeling:ListDatasetObjects",
"groundtruthlabeling:RunGenerateManifestByCrawlingJob",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
### Autorizzazioni necessarie per utilizzare la console di Amazon Augmented AI (Anteprima)
Per utilizzare la console IA aumentata Amazon, occorre concedere le autorizzazioni per le risorse aggiuntive. Concedi queste autorizzazioni con la seguente policy di autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*Algorithm",
"sagemaker:*Algorithms",
"sagemaker:*App",
"sagemaker:*Apps",
"sagemaker:*AutoMLJob",
"sagemaker:*AutoMLJobs",
"sagemaker:*CodeRepositories",
"sagemaker:*CodeRepository",
"sagemaker:*CompilationJob",
"sagemaker:*CompilationJobs",
"sagemaker:*Endpoint",
"sagemaker:*EndpointConfig",
"sagemaker:*EndpointConfigs",
"sagemaker:*EndpointWeightsAndCapacities",
"sagemaker:*Endpoints",
"sagemaker:*Experiment",
"sagemaker:*Experiments",
"sagemaker:*FlowDefinitions",
"sagemaker:*HumanLoop",
"sagemaker:*HumanLoops",
"sagemaker:*HumanTaskUi",
"sagemaker:*HumanTaskUis",
"sagemaker:*HyperParameterTuningJob",
"sagemaker:*HyperParameterTuningJobs",
"sagemaker:*LabelingJob",
"sagemaker:*LabelingJobs",
"sagemaker:*Metrics",
"sagemaker:*Model",
"sagemaker:*ModelPackage",
"sagemaker:*ModelPackages",
"sagemaker:*Models",
"sagemaker:*MonitoringExecutions",
"sagemaker:*MonitoringSchedule",
"sagemaker:*MonitoringSchedules",
"sagemaker:*NotebookInstance",
"sagemaker:*NotebookInstanceLifecycleConfig",
"sagemaker:*NotebookInstanceLifecycleConfigs",
"sagemaker:*NotebookInstanceUrl",
"sagemaker:*NotebookInstances",
"sagemaker:*ProcessingJob",
"sagemaker:*ProcessingJobs",
"sagemaker:*RenderUiTemplate",
"sagemaker:*Search",
"sagemaker:*SearchSuggestions",
"sagemaker:*Tags",
"sagemaker:*TrainingJob",
"sagemaker:*TrainingJobs",
"sagemaker:*TransformJob",
"sagemaker:*TransformJobs",
"sagemaker:*Trial",
"sagemaker:*TrialComponent",
"sagemaker:*TrialComponents",
"sagemaker:*Trials",
"sagemaker:*Workteam",
"sagemaker:*Workteams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sagemaker:*FlowDefinition"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListBranches",
"codecommit:ListRepositories",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob",
"glue:GetJobRun",
"glue:GetJobRuns",
"glue:GetJobs",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:PutLogEvents",
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:DescribeResourcePolicies",
"logs:GetLogDelivery",
"logs:ListLogDeliveries",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": "arn:aws:ecr:*:*:repository/*sagemaker*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
}
]
}
```
------
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Controlla la creazione di risorse SageMaker AI con le chiavi di condizione
Controlla l'accesso granulare per consentire la creazione di risorse SageMaker AI utilizzando chiavi di condizione specifiche per l' SageMaker intelligenza artificiale. Per informazioni sull'uso delle chiavi di condizione nelle policy IAM, consulta [elementi della policy IAM JSON: condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
*Le chiavi di condizione, le relative azioni API e i collegamenti alla documentazione pertinente sono elencati in [Condition Keys for SageMaker AI nel Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys).*
Gli esempi seguenti mostrano come utilizzare le chiavi di condizione SageMaker AI per controllare l'accesso.
**Topics**
+ [Controlla l'accesso alle risorse SageMaker AI utilizzando le chiavi di condizione del file system](#access-fs-condition-keys)
+ [Limitazione dell’addestramento a un VPC specifico](#sagemaker-condition-vpc)
+ [Limitazione dell’accesso ai tipi di forza lavoro per i processi di etichettatura Ground Truth e i flussi di lavoro di revisione umana Amazon A2I](#sagemaker-condition-keys-labeling)
+ [Applicazione della crittografia dei dati di input](#sagemaker-condition-kms)
+ [Applicazione dell’isolamento di rete per i job di addestramento](#sagemaker-condition-isolation)
+ [Applicazione di un tipo di istanza specifico per i job di addestramento](#sagemaker-condition-instance)
+ [Applicazione della disabilitazione dell’accesso a Internet e dell’accesso root per la creazione di istanze del notebook](#sagemaker-condition-nbi-lockdown)
### Controlla l'accesso alle risorse SageMaker AI utilizzando le chiavi di condizione del file system
SageMaker L'addestramento basato sull'intelligenza artificiale fornisce un'infrastruttura sicura in cui eseguire l'algoritmo di addestramento, ma in alcuni casi potresti aver bisogno di una difesa più approfondita. Ad esempio, riduci al minimo il rischio di eseguire codice non attendibile nell'algoritmo oppure disponi di mandati di sicurezza specifici nell'organizzazione. Per questi scenari, puoi utilizzare le chiavi di condizione specifiche del servizio nell’elemento Condizione di una policy IAM per limitare l’ambito dell’utente a:
+ file system specifici
+ directory
+ modalità di accesso (solo scrittura, solo lettura)
+ gruppi di sicurezza
**Topics**
+ [Limitazione per un utente IAM a specifiche directory e modalità di accesso](#access-fs-condition-keys-ex-dirs)
+ [Limitazione di un utente a un file system specifico](#access-fs-condition-keys-ex-fs)
#### Limitazione per un utente IAM a specifiche directory e modalità di accesso
La seguente politica limita un utente alle directory `/sagemaker/xgboost-dm/train` e alle `/sagemaker/xgboost-dm/validation` directory di un file system EFS `ro` (sola lettura): AccessMode
**Nota**
Quando una directory è consentita, tutte le sue sottodirectory sono accessibili anche dall'algoritmo di addestramento. Le autorizzazioni POSIX vengono ignorate.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToElasticFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/train"
}
}
},
{
"Sid": "AccessToElasticFileSystemValidation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/validation"
}
}
}
]
}
```
------
#### Limitazione di un utente a un file system specifico
Per evitare che un algoritmo dannoso che utilizza un client dello spazio utente acceda a qualsiasi file system direttamente nel tuo account, puoi limitare il traffico di rete. Per farlo, consenti l’ingresso solo da un gruppo di sicurezza specifico. Nell'esempio seguente, l'utente può utilizzare solo il gruppo di sicurezza specificato per accedere al file system:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToLustreFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "FSxLustre",
"sagemaker:FileSystemDirectoryPath": "/fsx/sagemaker/xgboost/train"
},
"ForAllValues:StringEquals": {
"sagemaker:VpcSecurityGroupIds": [
"sg-12345678"
]
}
}
}
]
}
```
------
Questo esempio può limitare un algoritmo a un file system specifico. Tuttavia, non impedisce a un algoritmo di accedere a qualsiasi directory all’interno del file system utilizzando il client dello spazio utente. Per mitigare questo problema, puoi:
+ Assicurarti che il file system contenga solo i dati a cui ritieni che gli utenti possano accedere
+ Crea un ruolo IAM che impedisca agli utenti di avviare processi di addestramento con algoritmi da repository ECR approvati
[Per ulteriori informazioni su come utilizzare i ruoli con l' SageMaker intelligenza artificiale, consulta AI Roles. SageMaker ](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html)
### Limitazione dell’addestramento a un VPC specifico
Limita un AWS utente alla creazione di lavori di formazione dall'interno di un Amazon VPC. Quando un job di addestramento viene creato all’interno di un VPC, utilizza i log del flusso VPC per monitorare tutto il traffico da e verso il cluster di addestramento. Per informazioni sull'utilizzo dei log di flusso VPC, consulta [Log di flusso VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*.
L’applicazione della policy seguente impone che un processo di addestramento venga creato da un utente chiamando [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) dall'interno di un VPC:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFromVpc",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"sagemaker:VpcSubnets": ["subnet-a1234"],
"sagemaker:VpcSecurityGroupIds": ["sg12345", "sg-67890"]
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
}
]
}
```
------
### Limitazione dell’accesso ai tipi di forza lavoro per i processi di etichettatura Ground Truth e i flussi di lavoro di revisione umana Amazon A2I
I team di lavoro di Amazon SageMaker Ground Truth e Amazon Augmented AI rientrano in [tre tipi di forza lavoro](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management.html):
+ pubblico (con Amazon Mechanical Turk)
+ private
+ fornitore
Puoi limitare l’accesso degli utenti a un team di lavoro specifico utilizzando uno di questi tipi o l’ARN del team di lavoro. A tale scopo, usa i tasti `sagemaker:WorkteamType` and/or di `sagemaker:WorkteamArn` condizione. Per la chiave di `sagemaker:WorkteamType` condizione, utilizza [gli operatori di condizione stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Per la chiave di condizione `sagemaker:WorkteamArn`, utilizza [gli operatori di condizione nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN). Se l'utente tenta di creare un processo di etichettatura con un team di lavoro limitato, SageMaker AI restituisce un errore di accesso negato.
Le policy riportate di seguito illustrano diversi modi per utilizzare le chiavi di condizione `sagemaker:WorkteamType` e `sagemaker:WorkteamArn` con gli operatori di condizione appropriati e i valori di condizione validi.
Nell'esempio seguente viene utilizzata la chiave di condizione `sagemaker:WorkteamType` con l'operatore di condizione `StringEquals` per limitare l'accesso a un team di lavoro pubblico. Accetta i valori delle condizioni nel seguente formato:`workforcetype-crowd`, where *workforcetype* can equal `public``private`, o`vendor`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:WorkteamType": "public-crowd"
}
}
}
]
}
```
------
Le policy seguenti mostrano come limitare l'accesso a un team di lavoro pubblico utilizzando la chiave di condizione `sagemaker:WorkteamArn`. La prima mostra come usare una variante regex IAM valida dell'ARN del team di lavoro e l'operatore di condizione `ArnLike`. La seconda mostra come usare l'operatore di condizione `ArnEquals` e l'ARN del team di lavoro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnLike": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
}
}
}
]
}
```
------
### Applicazione della crittografia dei dati di input
La seguente politica limita a un utente la possibilità di specificare una AWS KMS chiave per crittografare i dati di input utilizzando la chiave `sagemaker:VolumeKmsKey` condition durante la creazione:
+ addestramento
+ ottimizzazione degli iperparametri
+ processi di etichettatura
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceEncryption",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateFlowDefinition"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:VolumeKmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
]
}
```
------
### Applicazione dell’isolamento di rete per i job di addestramento
La policy seguente limita un utente ad abilitare l'isolamento di rete durante la creazione di processi di addestramento utilizzando la chiave di condizione `sagemaker:NetworkIsolation`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceIsolation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"Bool": {
"sagemaker:NetworkIsolation": "true"
}
}
}
]
}
```
------
### Applicazione di un tipo di istanza specifico per i job di addestramento
La policy seguente limita un utente a utilizzare un tipo di istanza specifico durante la creazione di processi di addestramento utilizzando la chiave di condizione `sagemaker:InstanceTypes`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceInstanceType",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"sagemaker:InstanceTypes": ["ml.c5.*"]
}
}
}
]
}
```
------
### Applicazione della disabilitazione dell’accesso a Internet e dell’accesso root per la creazione di istanze del notebook
Puoi disabilitare l'accesso a Internet e l'accesso root alle istanze del notebook per renderle più sicure. Per informazioni sul controllo dell’accesso root all’istanza del notebook, consulta [Controlla l'accesso root a un'istanza di notebook SageMaker](nbi-root-access.md). Per informazioni su come disabilitare l’accesso a Internet per un’istanza del notebook, consulta [Connessione di un'istanza del notebook in un VPC a risorse esterne](appendix-notebook-and-internet-access.md).
La policy seguente richiede che un utente disabiliti l'accesso alla rete durante la creazione dell'istanza o disabiliti l'accesso principale durante la creazione o l'aggiornamento di un'istanza del notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LockDownCreateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:CreateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:DirectInternetAccess": "Disabled",
"sagemaker:RootAccess": "Disabled"
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
},
{
"Sid": "LockDownUpdateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:UpdateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:RootAccess": "Disabled"
}
}
}
]
}
```
------
## Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità
Per controllare l'accesso alle chiamate API SageMaker AI e alle chiamate agli endpoint ospitati dall' SageMaker IA, utilizza politiche IAM basate sull'identità.
**Topics**
+ [Limita l'accesso all'API SageMaker AI e il runtime delle chiamate dall'interno del tuo VPC](#api-access-policy-vpc)
### Limita l'accesso all'API SageMaker AI e il runtime delle chiamate dall'interno del tuo VPC
Se configuri un endpoint di interfaccia nel tuo VPC, le persone esterne al VPC possono connettersi all'API AI ed eseguire SageMaker l'esecuzione su Internet. Per evitarlo, collega una policy IAM che limiti l’accesso alle chiamate provenienti dall’interno del VPC. Queste chiamate devono essere limitate a tutti gli utenti e i gruppi che hanno accesso alle tue SageMaker risorse AI. Per informazioni sulla creazione di un endpoint di interfaccia VPC per l'API SageMaker AI e il runtime, consulta. [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md)
**Importante**
Se applichi una policy IAM simile a una delle seguenti, gli utenti non possono accedere all' SageMaker IA specificata APIs tramite la console.
Per limitare l’accesso alle sole connessioni effettuate dall’interno del VPC, crea una policy AWS Identity and Access Management che limiti l’accesso. L’accesso deve essere limitato alle sole chiamate che provengono dall’interno del tuo VPC. Quindi aggiungi quella policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'API o al runtime SageMaker AI.
**Nota**
Questa policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Per limitare l’accesso all’API alle sole chiamate effettuate con l’endpoint di interfaccia, utilizza la chiave di condizione `aws:SourceVpce` anziché `aws:SourceVpc`:
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
## Limita l'accesso all'API SageMaker AI e alle chiamate di runtime in base all'indirizzo IP
Puoi consentire l'accesso alle chiamate API SageMaker AI e alle chiamate di runtime solo dagli indirizzi IP in un elenco specificato. A tale scopo, crea una policy IAM che neghi l’accesso all’API a meno che la chiamata non provenga da un indirizzo IP nell’elenco. Quindi collega tale policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'API o al runtime. Per informazioni sulla creazione di una policy IAM, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *AWS Identity and Access Management Guida per l'utente di IAM*.
Per specificare l’elenco di indirizzi IP che hanno accesso alla chiamata API, utilizza:
+ Operatore di condizione `IpAddress`
+ Chiave del contesto di condizione `aws:SourceIP`
Per informazioni sugli operatori di condizione IAM, consulta [Elementi della policy JSON di IAM: operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) nella *Guida per l'utente di AWS Identity and Access Management *. Per ulteriori informazioni sulle chiavi di contesto della condizione IAM, consulta [Chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Ad esempio, la seguente policy consente l'accesso a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) solo dagli indirizzi IP negli intervalli `192.0.2.0`-`192.0.2.255` e `203.0.113.0`-`203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreateTrainingJob",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
## Limitazione dell’accesso a un’istanza del notebook in base all’indirizzo IP
Puoi consentire l’accesso a un’istanza del notebook solo dagli indirizzi IP di un elenco specificato. A tale scopo, crea una policy IAM che neghi l’accesso a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) a meno che la chiamata non provenga da un indirizzo IP nell’elenco. Quindi, collega questa policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'istanza del notebook. Per informazioni sulla creazione di una policy IAM, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *AWS Identity and Access Management Guida per l'utente di IAM*.
Per specificare l’elenco di indirizzi IP a cui vuoi concedere l’accesso all’istanza del notebook, utilizza:
+ Operatore di condizione `IpAddress`
+ Chiave del contesto di condizione `aws:SourceIP`
Per informazioni sugli operatori di condizione IAM, consulta [Elementi della policy JSON di IAM: operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) nella *Guida per l'utente di AWS Identity and Access Management *. Per ulteriori informazioni sulle chiavi di contesto della condizione IAM, consulta [Chiavi di contesto delle condizioni globali AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Ad esempio, la seguente policy consente l'accesso a un'istanza del notebook solo da indirizzi IP negli intervalli `192.0.2.0`-`192.0.2.255` e `203.0.113.0`-`203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
La policy limita l'accesso alla chiamata a `CreatePresignedNotebookInstanceUrl` e all'URL restituito dalla chiamata. La policy limita, inoltre, l'accesso all'apertura di un'istanza notebook nella console. Viene applicata per ogni richiesta HTTP e WebSocket frame che tenta di connettersi all'istanza del notebook.
**Nota**
L'utilizzo di questo metodo per filtrare in base all'indirizzo IP è incompatibile quando [ci si connette all' SageMaker IA tramite un endpoint di interfaccia VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html). . Per informazioni sulla limitazione dell'accesso a un'istanza del notebook durante la connessione tramite un endpoint VPC di interfaccia, consulta [Connessione a un'istanza del notebook tramite un endpoint VPC di interfaccia](notebook-interface-endpoint.md).
## Controlla l'accesso alle risorse SageMaker AI utilizzando i tag
Specificate i tag all'interno di una policy IAM per controllare l'accesso a gruppi di risorse SageMaker AI. Utilizza i tag per implementare il controllo degli accessi basato su attributi (ABAC). L'utilizzo dei tag consente di partizionare l'accesso alle risorse a gruppi specifici di utenti. Puoi avere un team con accesso a un gruppo di risorse e un team diverso con accesso a un altro set di risorse. Puoi fornire `ResourceTag` condizioni nelle policy IAM per fornire l'accesso a ciascun gruppo.
**Nota**
Le policy basate su tag non vanno bene per limitare le seguenti chiamate API:
DeleteImageVersion
DescribeImageVersion
ListAlgorithms
ListCodeRepositories
ListCompilationJobs
ListEndpointConfigs
ListEndpoints
ListFlowDefinitions
ListHumanTaskUis
ListHyperparameterTuningJobs
ListLabelingJobs
ListLabelingJobsForWorkteam
ListModelPackages
ListModels
ListNotebookInstanceLifecycleConfigs
ListNotebookInstances
ListSubscribedWorkteams
ListTags
ListProcessingJobs
ListTrainingJobs
ListTrainingJobsForHyperParameterTuningJob
ListTransformJobs
ListWorkteams
Cerca
Un semplice esempio può aiutarti a capire come utilizzare i tag per partizionare le risorse. Supponiamo di aver definito due diversi gruppi IAM, denominati `DevTeam1` e`DevTeam2`, nel tuo AWS account. Hai creato anche 10 istanze del notebook. Stai utilizzando 5 istanze del notebook per un progetto. Stai usando le altre 5 per un secondo progetto. Puoi fornire a `DevTeam1` le autorizzazioni per effettuare chiamate API sulle istanze del notebook che stai utilizzando per il primo progetto. Puoi consentire a `DevTeam2` di effettuare chiamate API sulle istanze del notebook utilizzate per il secondo progetto.
La procedura seguente fornisce un semplice esempio che aiuta a comprendere il concetto di aggiunta di tag. È possibile utilizzarlo per implementare la soluzione descritta nel paragrafo precedente.
**Per controllare l'accesso alle chiamate API (esempio)**
1. Aggiungere un tag con la chiave `Project` e il valore `A` alle istanze del notebook utilizzate per il primo progetto. Per informazioni sull'aggiunta di tag alle risorse SageMaker AI, consulta [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html).
1. Aggiungere un tag con la chiave `Project` e il valore `B` alle istanze del notebook utilizzate per il secondo progetto.
1. Crea una policy IAM con una condizione `ResourceTag` che neghi l’accesso alle istanze del notebook utilizzate per il secondo progetto. Quindi, collega la policy a `DevTeam1`. La policy di esempio seguente rifiuta tutte le chiamate API su qualsiasi istanza del notebook che ha un tag con una chiave `Project` e un valore `B`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "B"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
Per informazioni su come creare policy IAM e collegarle alle identità, consulta [Controllo dell'accesso tramite le policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) nella *Guida per l'utente di AWS Identity and Access Management *.
1. Crea una policy IAM con una condizione `ResourceTag` che neghi l’accesso alle istanze del notebook utilizzate per il primo progetto. Quindi, collega la policy a `DevTeam2`. La policy di esempio seguente rifiuta tutte le chiamate API su qualsiasi istanza del notebook che ha un tag con una chiave `Project` e un valore `A`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "A"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
## Fornisci le autorizzazioni per etichettare SageMaker le risorse AI
I [tag](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) sono etichette di metadati che puoi allegare a determinate risorse. AWS Un tag è costituito da una coppia chiave-valore che fornisce un modo flessibile per annotare le risorse con attributi di metadati per vari [casi d’uso di tagging](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html), tra cui:
+ cerca
+ sicurezza
+ [attribuzione dei costi](https://docs.aws.amazon.com/whitepapers/latest/sagemaker-studio-admin-best-practices/cost-attribution.html)
+ controllo accessi
+ automazione
Possono essere utilizzati nelle autorizzazioni e nelle politiche, nelle quote di servizio e nelle integrazioni con altri servizi. AWS I tag possono essere definiti dall'utente o AWS generati durante la creazione di risorse. Se i tag sono personalizzati, vengono specificati manualmente da un utente, in caso contrario vengono generati automaticamente dal servizio AWS .
+ *Tag definiti dall'utente* nell' SageMaker intelligenza artificiale: gli utenti possono aggiungere tag quando creano risorse SageMaker AI utilizzando SageMaker SDKs la AWS CLI CLI SageMaker APIs SageMaker , la console AI o i modelli. CloudFormation
**Nota**
I tag definiti dall’utente possono essere sovrascritti se una risorsa viene successivamente aggiornata e il valore del tag viene modificato o sostituito. Ad esempio, un job di addestramento creato con \$1Team: A\$1 potrebbe essere aggiornato in modo errato e ritaggato come \$1Team: B\$1. Di conseguenza, le autorizzazioni consentite potrebbero essere assegnate in modo errato. Occorre quindi prestare attenzione quando si consente agli utenti o ai gruppi di aggiungere tag, perché potrebbero sostituire i valori dei tag esistenti. È buona prassi stabilire limitazioni rigorose per le autorizzazioni dei tag e utilizzare le condizioni IAM per controllare le capacità di tagging.
+ *AWS tag generati* nell' SageMaker IA: l' SageMaker IA etichetta automaticamente determinate risorse che crea. Ad esempio, Studio e Studio Classic assegnano automaticamente il `sagemaker:domain-arn` tag alle risorse di SageMaker intelligenza artificiale che creano. L'etichettatura di nuove risorse con il dominio ARN fornisce la tracciabilità della provenienza delle risorse di intelligenza artificiale SageMaker come lavori di formazione, modelli ed endpoint. Per un controllo e un monitoraggio più precisi, le nuove risorse ricevono tag aggiuntivi come:
+ `sagemaker:user-profile-arn`: l’ARN del profilo utente che ha creato la risorsa. Questa operazione consente di tenere traccia delle risorse create da utenti specifici.
+ `sagemaker:space-arn`: l’ARN dello spazio in cui è stata creata la risorsa. Questa operazione consente di raggruppare e isolare le risorse per ogni spazio.
**Nota**
AWS i tag generati non possono essere modificati dagli utenti.
Per informazioni generali sull'etichettatura AWS delle risorse e sulle migliori pratiche, consulta [Etichettare le AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) risorse. Per informazioni sui principali casi d’uso di tagging, consulta [Tagging use cases](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html).
### Concedi l'autorizzazione ad aggiungere tag durante la creazione SageMaker di risorse AI
Puoi consentire agli utenti (*tag definiti dall'utente*) o a Studio e Studio Classic (*tag AWS generati*) di aggiungere tag alle nuove risorse SageMaker AI al momento della creazione. A tal fine, le autorizzazioni IAM devono includere:
+ L'autorizzazione di creazione SageMaker AI di base per quel tipo di risorsa.
+ L’autorizzazione `sagemaker:AddTags`.
Ad esempio, consentire a un utente di creare un lavoro di SageMaker formazione e di etichettarlo richiederebbe la concessione di autorizzazioni per `sagemaker:CreateTrainingJob` e. `sagemaker:AddTags`
**Importante**
Le politiche IAM personalizzate che consentono ad Amazon SageMaker Studio o Amazon SageMaker Studio Classic di creare risorse Amazon SageMaker AI devono inoltre concedere le autorizzazioni per aggiungere tag a tali risorse. L’autorizzazione per aggiungere tag alle risorse è necessaria perché Studio e Studio Classic applicano automaticamente tag a tutte le risorse che creano. Se una policy IAM consente a Studio e Studio Classic di creare risorse ma non consente l'aggiunta di tag, possono verificarsi errori AccessDenied "" durante il tentativo di creare risorse.
[AWS politiche gestite per Amazon SageMaker AI](security-iam-awsmanpol.md)che forniscono le autorizzazioni per creare risorse SageMaker AI includono già le autorizzazioni per aggiungere tag durante la creazione di tali risorse.
Gli amministratori assegnano queste autorizzazioni IAM a uno di questi ruoli:
+ AWS Ruoli IAM assegnati all'utente per i tag definiti dall'utente
+ Ruolo di esecuzione utilizzato da Studio o Studio Classic per i tag generati da AWS
Per istruzioni sulla creazione e l’applicazione di policy IAM personalizzate, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
**Nota**
L'elenco delle operazioni di creazione di risorse SageMaker AI è disponibile nella [documentazione dell'SageMaker API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations_Amazon_SageMaker_Service.html) cercando le azioni che iniziano con`Create`. Queste azioni di creazione, come `CreateTrainingJob` e`CreateEndpoint`, sono le operazioni che creano nuove risorse di SageMaker intelligenza artificiale.
**Aggiunta di autorizzazioni dei tag a determinate azioni di creazione**
Per concedere l’autorizzazione `sagemaker:AddTags` con vincoli, collega una policy IAM aggiuntiva alla policy di creazione delle risorse originale. La politica di esempio seguente consente`sagemaker:AddTags`, ma la limita solo a determinate risorse di SageMaker intelligenza artificiale, di creare azioni come`CreateTrainingJob`.
```
{
"Sid": "AllowAddTagsForCreateOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateTrainingJob"
}
}
}
```
La condizione della policy limita l’utilizzo di `sagemaker:AddTags` solo in combinazione con specifiche azioni di creazione. In questo approccio, la policy di autorizzazione di creazione rimane invariata mentre una policy aggiuntiva fornisce un accesso limitato a `sagemaker:AddTags`. Questa condizione impedisce l’autorizzazione generalizzata di `sagemaker:AddTags`, limitandola esclusivamente alle azioni di creazione che richiedono tag. Ciò implementa il privilegio minimo `sagemaker:AddTags` consentendolo solo per casi d'uso specifici per la creazione di risorse di SageMaker intelligenza artificiale.
**Esempio: consenti l’autorizzazione dei tag a livello globale e limita le azioni di creazione a un dominio**
In questo esempio di policy IAM personalizzata, le prime due istruzioni illustrano l’utilizzo dei tag per monitorare la creazione di risorse. Consente l’azione `sagemaker:CreateModel` su tutte le risorse e il tagging di tali risorse quando viene utilizzata l’azione. La terza istruzione mostra come utilizzare i valori dei tag per controllare le operazioni sulle risorse. In questo caso, impedisce la creazione di risorse SageMaker AI etichettate con un ARN di dominio specifico, limitando l'accesso in base al valore del tag.
In particolare:
+ La prima istruzione consente l’azione `CreateModel` su qualsiasi risorsa (`*`).
+ La seconda istruzione consente l’azione `sagemaker:AddTags`, ma solo quando la chiave di condizione `sagemaker:TaggingAction` è uguale a `CreateModel`. Questo limita l’azione `sagemaker:AddTags`, che può essere utilizzata solo per etichettare un modello appena creato.
+ La terza affermazione nega qualsiasi azione di creazione dell' SageMaker IA (`Create*`) su qualsiasi risorsa (`*`), ma solo quando la risorsa ha un tag `sagemaker:domain-arn` uguale a un `domain-arn` ARN di dominio specifico,.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"sagemaker:CreateModel"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":"*",
"Condition":{
"String":{
"sagemaker:TaggingAction":[
"CreateModel"
]
}
}
},
{
"Sid":"IsolateDomain",
"Effect":"Deny",
"Resource":"*",
"Action":[
"sagemaker:Create*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:domain-arn":"domain-arn"
}
}
}
]
}
```
## Limitazione dell’accesso alle risorse ricercabili con condizioni di visibilità
Utilizza le condizioni di visibilità per limitare l'accesso dei tuoi utenti a risorse taggate specifiche all'interno di un AWS account. Gli utenti possono accedere solo alle risorse per le quali dispongono delle autorizzazioni. Quando gli utenti effettuano ricerche nelle proprie risorse, possono limitare i risultati della ricerca a risorse specifiche.
Potresti volere che i tuoi utenti vedano e interagiscano solo con le risorse associate a domini Amazon SageMaker Studio o Amazon SageMaker Studio Classic specifici. Puoi utilizzare le condizioni di visibilità per limitare l’accesso a uno o più domini.
```
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Regione AWS:111122223333:domain/example-domain-1",
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Regione AWS:111122223333:domain/example-domain-2"
}
}
}
```
Il formato generale di una condizione di visibilità è `"sagemaker:SearchVisibilityCondition/Tags.key": "value"`. Puoi fornire la coppia chiave-valore per qualsiasi risorsa taggata.
```
{
"MaxResults": number,
"NextToken": "string",
"Resource": "string", # Required Parameter
"SearchExpression": {
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedFilters": [
{
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedPropertyName": "string"
}
],
"Operator": "string",
"SubExpressions": [
"SearchExpression"
]
},
"IsCrossAccount": "string",
"VisibilityConditions" : [ List of conditions for visibility
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Regione AWS:111122223333:domain/example-domain-1"},
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Regione AWS:111122223333:domain/example-domain-2"}
]
],
"SortBy": "string",
"SortOrder": "string"
}
```
La condizione di visibilità contenuta al suo interno utilizza la stessa formattazione `"sagemaker:SearchVisibilityCondition/Tags.key": "value"` specificata nella policy. I tuoi utenti possono specificare le coppie chiave-valore utilizzate per qualsiasi risorsa taggata.
Se un utente include il parametro `VisibilityConditions` nella richiesta di [ricerca](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html), ma la policy di accesso applicabile all’utente non contiene alcuna chiave di condizione corrispondente specificata in `VisibilityConditions`, la richiesta `Search` viene comunque consentita ed eseguita.
Se un parametro `VisibilityConditions` non è specificato nella richiesta dell’API di [ricerca](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) dell’utente, ma la policy di accesso applicabile all’utente contiene chiavi di condizione relative a `VisibilityConditions`, la richiesta `Search` dell’utente viene rifiutata.
# Prevenzione del problema "confused deputy" tra servizi
Il [problema confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, il problema del confuso sostituto può insorgere a causa dell'impersonificazione tra diversi servizi. L’impersonificazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) invoca un altro servizio (il *servizio chiamato*) e sfrutta le autorizzazioni elevate del servizio chiamato per agire su risorse alle quali non è autorizzato ad accedere. Per impedire l'accesso non autorizzato dovuto al problema del vicesceriffo confuso, AWS fornisce strumenti che consentono di proteggere i dati in tutti i servizi. Questi strumenti permettono di controllare le autorizzazioni concesse ai principali dei servizi, limitandone l’accesso alle sole risorse necessarie nell’account. Gestendo attentamente i privilegi di accesso dei principali dei servizi, puoi contribuire a mitigare il rischio che i servizi accedano in modo improprio a dati o risorse per i quali non dovrebbero avere le autorizzazioni.
Continua a leggere per una guida generale o vai a un esempio per una funzionalità di SageMaker intelligenza artificiale specifica:
**Topics**
+ [Limita le autorizzazioni con le chiavi di condizione globali](#security-confused-deputy-context-keys)
+ [SageMaker Edge Manager](#security-confused-deputy-edge-manager)
+ [SageMaker Immagini](#security-confused-deputy-images)
+ [SageMaker Inferenza AI](#security-confused-deputy-inference)
+ [SageMaker Lavori di AI Batch Transform](#security-confused-deputy-batch)
+ [SageMaker Marketplace AI](#security-confused-deputy-marketplace)
+ [SageMaker Neo](#security-confused-deputy-neo)
+ [SageMaker Gasdotti](#security-confused-deputy-pipelines)
+ [SageMaker Lavori di elaborazione](#security-confused-deputy-processing-job)
+ [SageMaker Studio](#security-confused-deputy-studio)
+ [SageMaker Lavori di formazione](#security-confused-deputy-training-job)
## Limita le autorizzazioni con le chiavi di condizione globali
Ti consigliamo di utilizzare le chiavi `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` e `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` global condition nelle politiche delle risorse per limitare le autorizzazioni alla risorsa che Amazon SageMaker AI fornisce a un altro servizio. Se si utilizzano entrambe le chiavi di condizione globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi.
Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di condizione globale `aws:SourceArn` con l'ARN completo della risorsa. Se non si conosce l'ARN completo della risorsa o si scelgono più risorse, è necessario utilizzare la chiave di condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell'ARN. Ad esempio, `arn:aws:sagemaker:*:123456789012:*`.
L'esempio seguente mostra come utilizzare i tasti `aws:SourceArn` e `aws:SourceAccount` global condition nell' SageMaker intelligenza artificiale per evitare il confuso problema del vice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sagemaker:StartSession",
"Resource": "arn:aws:sagemaker:us-east-1:123456789012:ResourceName/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
## SageMaker Edge Manager
L'esempio seguente mostra come è possibile utilizzare la chiave di condizione `aws:SourceArn` globale per evitare che SageMaker Edge Manager confonda i diversi servizi in base al numero di account *123456789012* nella *us-west-2* regione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di creazione del pacchetto specifico per limitare ulteriormente le autorizzazioni.
## SageMaker Immagini
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che si verifichi il problema della confusione tra servizi diversi per [SageMaker Images](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html). Usa questo modello con `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` o `[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. Questo esempio utilizza un `ImageVersion` record ARN con il numero di account. *123456789012* Poiché il numero di account fa parte del valore `aws:SourceArn`, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-2:123456789012:image-version/*"
}
}
}
}
```
------
Non sostituire il valore `aws:SourceArn` contenuto in questo modello con l'ARN completo di un'immagine o di una versione dell'immagine specifica. L'ARN deve corrispondere al formato fornito sopra e specificare `image` o `image-version`. Il `partition` segnaposto deve indicare una partizione AWS commerciale () o una partizione AWS cinese (`aws``aws-cn`), a seconda di dove è in esecuzione l'immagine o la versione dell'immagine. Analogamente, il `region` segnaposto nell'ARN può essere qualsiasi [regione valida](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) in cui SageMaker sono disponibili immagini.
## SageMaker Inferenza AI
[L'esempio seguente mostra come è possibile utilizzare la chiave di condizione `aws:SourceArn` globale per prevenire il problema secondario confuso tra diversi servizi per l' SageMaker inferenza AI [in tempo reale](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints), [senza server](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints) e asincrona.](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) Poiché il numero di account fa parte del valore `aws:SourceArn`, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Non sostituire il valore `aws:SourceArn` contenuto in questo modello con l'ARN completo di un modello o endpoint specifici. L'ARN deve corrispondere al formato fornito sopra. L'asterisco nel modello ARN non rappresenta un carattere jolly e non deve essere modificato.
## SageMaker Lavori di AI Batch Transform
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che si [verifichi il problema della confusione tra diversi servizi per i processi di trasformazione in batch](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) di SageMaker IA creati in base al numero di account *123456789012* nella *us-west-2* regione. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*"
}
}
}
]
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di trasformazione di batch specifico per limitare ulteriormente le autorizzazioni.
## SageMaker Marketplace AI
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che si verifichi il problema dell'interservizio confuso tra servizi per le risorse di SageMaker AI Marketplace create in base al numero di account *123456789012* nella *us-west-2* regione. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Non sostituire il valore `aws:SourceArn` contenuto in questo modello con l'ARN completo di un algoritmo o pacchetti di modelli specifici. L'ARN deve corrispondere al formato fornito sopra. L'asterisco nel modello ARN sta per wildcard e copre tutti i lavori di formazione, i modelli e i processi di trasformazione in batch derivanti dalle fasi di convalida, nonché i pacchetti di algoritmi e modelli pubblicati su AI Marketplace. SageMaker
## SageMaker Neo
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che i job di compilazione di SageMaker Neo creati in base al numero di account *123456789012* nella regione si creino confusi tra diversi servizi. *us-west-2* Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*"
}
}
}
]
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di compilazione specifico per limitare ulteriormente le autorizzazioni.
## SageMaker Gasdotti
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che Pipelines utilizzi i record di esecuzione delle pipeline provenienti da una o più [SageMaker pipeline](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html), generati dalla confusione tra diversi servizi. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:pipeline/mypipeline/*"
}
}
}
]
}
```
------
Non sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di una esecuzione della pipeline specifica. L'ARN deve corrispondere al formato fornito sopra. Il `partition` segnaposto deve indicare una partizione AWS commerciale () o una partizione in AWS Cina (`aws``aws-cn`), a seconda di dove si trova il gasdotto. Analogamente, il `region` segnaposto nell'ARN può essere qualsiasi [regione valida](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) in cui SageMaker è disponibile Pipelines.
L'asterisco nel modello ARN sta per carattere jolly e copre tutte le esecuzioni di pipeline di una pipeline denominata `mypipeline`. Se desideri consentire le autorizzazioni `AssumeRole` per tutte le pipeline dell'account `123456789012` anziché per una pipeline specifica, allora `aws:SourceArn` dovrebbe essere `arn:aws:sagemaker:*:123456789012:pipeline/*`.
## SageMaker Lavori di elaborazione
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che i job SageMaker Processing creati in base al numero di conto *123456789012* nella *us-west-2* regione si verifichino confusi tra diversi servizi. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*"
}
}
}
]
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di elaborazione specifico per limitare ulteriormente le autorizzazioni.
## SageMaker Studio
L'esempio seguente mostra come è possibile utilizzare la chiave di condizione `aws:SourceArn` globale per evitare che si verifichi per SageMaker Studio il problema della confusione tra diversi servizi, creato in base al numero di account *123456789012* nella *us-west-2* regione. Poiché il numero di account fa parte del valore `aws:SourceArn`, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Non sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un'applicazione Studio, profilo utente o dominio specifici. L'ARN deve corrispondere al formato fornito nell'esempio precedente. L'asterisco nel modello ARN non rappresenta un carattere jolly e non deve essere modificato.
## SageMaker Lavori di formazione
L'esempio seguente mostra come è possibile utilizzare la chiave `aws:SourceArn` global condition per evitare che si verifichi il problema della confusione tra i vari servizi per i posti di lavoro di SageMaker formazione creati in base al numero di conto corrente *123456789012* nella *us-west-2* Regione. Poiché il numero di account fa parte di ARN, non è necessario specificare un valore `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*"
}
}
}
]
}
```
------
Puoi sostituire `aws:SourceArn` contenuto in questo modello con l'ARN completo di un processo di addestramento specifico per limitare ulteriormente le autorizzazioni.
**Argomento successivo**
Per ulteriori informazioni sulla gestione dei ruoli di esecuzione, consulta [SageMaker AI Roles](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).
# Come utilizzare i ruoli di esecuzione dell' SageMaker IA
Amazon SageMaker AI esegue operazioni per tuo conto utilizzando altri AWS servizi. Devi concedere le autorizzazioni all' SageMaker intelligenza artificiale per utilizzare questi servizi e le risorse su cui agiscono. Concedi all' SageMaker IA queste autorizzazioni utilizzando un ruolo di esecuzione AWS Identity and Access Management (IAM). Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Per creare e utilizzare un ruolo di esecuzione, puoi utilizzare le seguenti procedure.
## Crea ruolo di esecuzione
Utilizza la seguente procedura per creare un ruolo di esecuzione con la policy gestita IAM, `AmazonSageMakerFullAccess`, collegata. Se il tuo caso d'uso richiede autorizzazioni più granulari, utilizza le altre sezioni di questa pagina per creare un ruolo di esecuzione che soddisfi le tue esigenze aziendali. Puoi creare un ruolo di esecuzione utilizzando la console SageMaker AI o il AWS CLI.
**Importante**
La policy gestita IAM, `AmazonSageMakerFullAccess`, utilizzata nella seguente procedura, concede al ruolo di esecuzione solo l'autorizzazione a eseguire determinate azioni Amazon S3 su bucket o oggetti con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` nel nome. Per informazioni su come aggiungere una policy aggiuntiva a un ruolo di esecuzione per concedergli l'accesso ad altri bucket e oggetti Amazon S3, consulta [Aggiungi autorizzazioni Amazon S3 aggiuntive a un SageMaker ruolo di esecuzione AI](#sagemaker-roles-get-execution-role-s3).
**Nota**
Puoi creare un ruolo di esecuzione direttamente quando crei un dominio SageMaker AI o un'istanza di notebook.
Per informazioni su come creare un dominio SageMaker AI, consulta[Guida alla configurazione con Amazon SageMaker AI](gs.md).
Per informazioni su come creare una istanza del notebook, consulta [Crea un'istanza Amazon SageMaker Notebook per il tutorial](gs-setup-working-env.md).
**Per creare un nuovo ruolo di esecuzione dalla console SageMaker AI**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Selezionare **Roles (Ruoli)**, quindi selezionare **Create role (Crea ruolo)**.
1. Mantieni il **tipo di entità affidabile** come **AWS servizio**, quindi utilizza la freccia rivolta verso il basso per trovare l'**SageMaker intelligenza artificiale** nei **casi d'uso per altri AWS servizi**.
1. Scegli **SageMaker AI — Esecuzione**, quindi scegli **Avanti**.
1. La policy gestita IAM, `AmazonSageMakerFullAccess`, viene collegata automaticamente al ruolo . Per visualizzare le autorizzazioni incluse in questa policy, scegli il segno più (**\$1**) accanto al nome della policy. Scegli **Next (Successivo)**.
1. Inserire un **nome di ruolo** e una **descrizione**.
1. (Facoltativo) Aggiungi autorizzazioni aggiuntive e tag al ruolo.
1. Scegli **Crea ruolo**.
1. Nella sezione **Ruoli** della console IAM, trova il ruolo che hai appena creato. Se necessario, utilizza la casella di testo per cercare il ruolo utilizzando il nome del ruolo.
1. Nella pagina Riepilogo ruolo, annota l’ARN.
**Per creare un nuovo ruolo di esecuzione da AWS CLI**
Prima di creare un ruolo di esecuzione utilizzando il AWS CLI, assicurati di aggiornarlo e configurarlo seguendo le istruzioni contenute in[(Facoltativo) Configura il AWS CLI](gs-set-up.md#gs-cli-prereq), quindi continua con le istruzioni in[Configurazione personalizzata utilizzando AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Dopo aver creato un ruolo di esecuzione, puoi associarlo a un dominio SageMaker AI, a un profilo utente o a un'istanza di Jupyter Notebook.
+ Per ulteriori informazioni su come associare un ruolo di esecuzione a un dominio SageMaker AI esistente, consulta. [Modifica delle impostazioni del dominio](domain-edit.md)
+ Per ulteriori informazioni su come associare un ruolo di esecuzione a un profilo utente esistente, consulta [Aggiunta di profili utente](domain-user-profile-add.md).
+ Per ulteriori informazioni su come associare un ruolo di esecuzione a una istanza del notebook, consulta [Aggiornamento di un'istanza del notebook](nbi-update.md).
Puoi anche passare l'ARN di un ruolo di esecuzione alla chiamata API. Ad esempio, utilizzando [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable), puoi passare l'ARN del tuo ruolo di esecuzione a uno stimatore. Nell'esempio di codice che segue, creiamo uno stimatore utilizzando il contenitore dell' XGBoostalgoritmo e passiamo l'ARN del ruolo di esecuzione come parametro. Per l'esempio completo su GitHub, consulta [Customer Churn Prediction with. XGBoost](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb)
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Aggiungi autorizzazioni Amazon S3 aggiuntive a un SageMaker ruolo di esecuzione AI
Quando utilizzi una funzionalità di SageMaker intelligenza artificiale con risorse in Amazon S3, come i dati di input, il ruolo di esecuzione specificato nella richiesta (ad esempio`CreateTrainingJob`) viene utilizzato per accedere a tali risorse.
Se colleghi la policy gestita IAM, `AmazonSageMakerFullAccess`, a un ruolo di esecuzione, tale ruolo è autorizzato a eseguire determinate azioni Amazon S3 su bucket o oggetti con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` nel nome. È inoltre autorizzato a eseguire le seguenti azioni su qualsiasi risorsa Amazon S3:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Per dare a un ruolo di esecuzione le autorizzazioni per accedere a uno o più bucket specifici in Amazon S3, è possibile collegare una policy simile al seguente ruolo. Questa policy concede a un ruolo IAM l’autorizzazione per eseguire tutte le azioni consentite da `AmazonSageMakerFullAccess`, ma limita l’accesso ai bucket amzn-s3-demo-bucket1 e amzn-s3-demo-bucket2. Consulta la documentazione di sicurezza per la specifica funzionalità di SageMaker intelligenza artificiale che stai utilizzando per ulteriori informazioni sulle autorizzazioni Amazon S3 richieste per tale funzionalità.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
------
## Acquisizione del ruolo di esecuzione
Puoi utilizzare la [console SageMaker AI](https://console.aws.amazon.com/sagemaker), l'[SDK Amazon SageMaker Python](https://sagemaker.readthedocs.io/en/stable) o il [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)per recuperare l'ARN e il nome del ruolo di esecuzione associato a SageMaker un dominio, spazio o profilo utente AI.
**Topics**
+ [Acquisizione del ruolo di esecuzione del dominio](#sagemaker-roles-get-execution-role-domain)
+ [Acquisizione del ruolo di esecuzione dello spazio](#sagemaker-roles-get-execution-role-space)
+ [Acquisizione del ruolo di esecuzione dell’utente](#sagemaker-roles-get-execution-role-user)
### Acquisizione del ruolo di esecuzione del dominio
Di seguito vengono fornite istruzioni su come trovare il ruolo di esecuzione del dominio.
#### Acquisizione del ruolo di esecuzione del dominio (console)
**Trova il ruolo di esecuzione collegato al tuo dominio**
1. Apri la console AI, SageMaker [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Impostazioni del dominio**.
1. Nella sezione **Impostazioni generali**, l’ARN del ruolo di esecuzione è elencato in **Ruolo di esecuzione**.
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
### Acquisizione del ruolo di esecuzione dello spazio
Di seguito vengono fornite istruzioni su come trovare il ruolo di esecuzione dello spazio.
#### Acquisizione del ruolo di esecuzione dello spazio (console)
**Trova il ruolo di esecuzione collegato al tuo spazio**
1. Apri la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Gestione dello spazio**.
1. Nella sezione **Dettagli**, l’ARN del ruolo di esecuzione è elencato in **Ruolo di esecuzione**.
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
#### Acquisizione del ruolo di esecuzione dello spazio (SDK per Python)
**Nota**
Il codice seguente è pensato per essere eseguito in un ambiente di SageMaker intelligenza artificiale, come qualsiasi altro IDEs in Amazon SageMaker Studio. Riceverai un errore se esegui `get_execution_role` al di fuori di un ambiente SageMaker AI.
Il seguente comando [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)[Amazon SageMaker Python SDK recupera](https://sagemaker.readthedocs.io/en/stable) l'ARN del ruolo di esecuzione associato allo spazio.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
### Acquisizione del ruolo di esecuzione dell’utente
Di seguito vengono fornite istruzioni su come trovare il ruolo di esecuzione di un utente.
#### Acquisizione del ruolo di esecuzione dell’utente (console)
**Cerca il ruolo di esecuzione collegato a un utente**
1. Apri la console AI, SageMaker [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Profili utente**.
1. Scegli il link che corrisponde al tuo utente.
1. Nella sezione **Dettagli**, l’ARN del ruolo di esecuzione è elencato in **Ruolo di esecuzione**.
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
#### Acquisizione del ruolo di esecuzione dello spazio (AWS CLI)
**Nota**
Per utilizzare i seguenti esempi, è necessario che AWS Command Line Interface (AWS CLI) sia installato e configurato. Per informazioni, consulta [Nozioni di base sulla AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) nella *Guida per l’utente di AWS Command Line Interface per la versione 2*.
Il comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI seguente visualizza informazioni sull’identità IAM utilizzata per autenticare la richiesta. Il chiamante è un utente IAM.
```
aws sts get-caller-identity
```
Il nome del ruolo di esecuzione si trova dopo l’ultimo `/` nell’ARN del ruolo di esecuzione.
## Modifica del ruolo di esecuzione
Un ruolo di esecuzione è un ruolo IAM assunto da un'identità SageMaker AI (come un utente, uno spazio o un dominio SageMaker AI). La modifica del ruolo IAM altera le autorizzazioni per tutte le identità che assumono quel ruolo.
Quando modifichi un ruolo di esecuzione, cambia anche il ruolo di esecuzione dello spazio corrispondente. Gli effetti della modifica potrebbero essere visibili solo dopo un po’ di tempo.
+ Quando modifichi il *ruolo di esecuzione di un utente*, gli *spazi privati* creati dall’utente assumeranno il ruolo di esecuzione modificato.
+ Quando modifichi il *ruolo di esecuzione predefinito di uno spazio*, gli *spazi condivisi* nel dominio assumeranno il ruolo di esecuzione modificato.
Per ulteriori informazioni sugli spazi e sui ruoli di esecuzione, consulta [Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio](execution-roles-and-spaces.md).
Puoi sostituire il ruolo di esecuzione per un’identità con un ruolo IAM diverso utilizzando una delle istruzioni seguenti.
Se invece vuoi *modificare* un ruolo assunto da un’identità, consulta [Modifica delle autorizzazioni per il ruolo di esecuzione](#sagemaker-roles-modify-to-execution-role).
**Topics**
+ [Modifica del ruolo di esecuzione predefinito del dominio](#sagemaker-roles-change-execution-role-domain)
+ [Modifica del ruolo di esecuzione predefinito dello spazio](#sagemaker-roles-change-execution-role-space)
+ [Modifica del ruolo di esecuzione del profilo utente](#sagemaker-roles-change-execution-role-user)
### Modifica del ruolo di esecuzione predefinito del dominio
Di seguito vengono fornite istruzioni su come cambiare il ruolo di esecuzione predefinito del dominio.
#### Modifica del ruolo di esecuzione predefinito del dominio (console)
**Modifica il ruolo di esecuzione predefinito collegato al tuo dominio**
1. Apri la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Impostazioni del dominio**.
1. Nella sezione **Impostazioni generali**, scegli **Modifica**.
1. Nella sezione **Autorizzazioni**, in **Ruolo di esecuzione predefinito**, espandi l’elenco a discesa.
1. Nell’elenco a discesa puoi scegliere un ruolo esistente, inserire un ARN personalizzato per il ruolo IAM o creare un nuovo ruolo.
Per creare un nuovo ruolo, puoi scegliere **Crea un ruolo utilizzando la procedura guidata per la creazione del ruolo**.
1. Scegli Avanti nelle fasi seguenti e seleziona Invia nell’ultima fase.
### Modifica del ruolo di esecuzione predefinito dello spazio
Di seguito vengono fornite istruzioni su come cambiare il ruolo di esecuzione predefinito dello spazio. La modifica di questo ruolo di esecuzione cambierà il ruolo assunto da tutti gli spazi condivisi nel dominio.
#### Modifica del ruolo di esecuzione predefinito dello spazio (console)
**Modifica il ruolo di esecuzione predefinito dello spazio quando crei un nuovo spazio**
1. Apri la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Impostazioni del dominio**.
1. Nella sezione **Impostazioni generali**, scegli **Modifica**.
1. Nella sezione **Autorizzazioni**, in **Ruolo di esecuzione predefinito dello spazio**, espandi l’elenco a discesa.
1. Nell’elenco a discesa puoi scegliere un ruolo esistente, inserire un ARN personalizzato per il ruolo IAM o creare un nuovo ruolo.
Per creare un nuovo ruolo, puoi scegliere **Crea un ruolo utilizzando la procedura guidata per la creazione del ruolo**.
1. Scegli **Avanti** nelle fasi seguenti e seleziona **Invia** nell’ultima fase.
### Modifica del ruolo di esecuzione del profilo utente
Di seguito vengono fornite istruzioni su come cambiare il ruolo di esecuzione di un utente. La modifica di questo ruolo di esecuzione cambierà il ruolo assunto da tutti gli spazi privati creati da questo utente.
#### Modifica del ruolo di esecuzione del profilo utente (console)
**Modifica il ruolo di esecuzione collegato a un utente**
1. Apri la console SageMaker AI, [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. Nel riquadro di navigazione a sinistra, scegli **Domini** in **Configurazioni di amministrazione**.
1. Scegli il link che corrisponde al tuo dominio.
1. Scegli la scheda **Profili utente**.
1. Scegli il link che corrisponde al nome del profilo utente.
1. Scegli **Modifica**.
1. Nell’elenco a discesa puoi scegliere un ruolo esistente, inserire un ARN personalizzato per il ruolo IAM o creare un nuovo ruolo.
Per creare un nuovo ruolo, puoi scegliere **Crea un ruolo utilizzando la procedura guidata per la creazione del ruolo**.
1. Scegli **Avanti** nelle fasi seguenti e seleziona **Invia** nell’ultima fase.
## Modifica delle autorizzazioni per il ruolo di esecuzione
Puoi modificare le autorizzazioni esistenti per il ruolo di esecuzione di un'identità (ad esempio un utente, uno spazio o un dominio SageMaker AI). Per farlo, individua e modifica il ruolo IAM appropriato che l’identità sta assumendo. Di seguito vengono fornite le istruzioni per eseguire questa operazione tramite la console.
Quando modifichi un ruolo di esecuzione, cambierà anche il ruolo di esecuzione dello spazio corrispondente. Gli effetti della modifica potrebbero non essere immediati.
+ Quando modifichi il *ruolo di esecuzione di un utente*, gli *spazi privati* creati dall’utente assumeranno il ruolo di esecuzione modificato.
+ Quando modifichi il *ruolo di esecuzione predefinito di uno spazio*, gli *spazi condivisi* nel dominio assumeranno il ruolo di esecuzione modificato.
Per ulteriori informazioni sugli spazi e sui ruoli di esecuzione, consulta [Informazioni sulle autorizzazioni e sui ruoli di esecuzione dello spazio del dominio](execution-roles-and-spaces.md).
Invece, per *cambiare* un ruolo assunto da un’identità, consulta [Modifica del ruolo di esecuzione](#sagemaker-roles-change-execution-role).
### Modifica delle autorizzazioni per il ruolo di esecuzione (console)
**Per modificare le autorizzazioni per i ruoli di esecuzione**
1. Prima di tutto, ottieni il nome dell’identità da modificare.
+ [Acquisizione del ruolo di esecuzione del dominio](#sagemaker-roles-get-execution-role-domain)
+ [Acquisizione del ruolo di esecuzione dello spazio](#sagemaker-roles-get-execution-role-space)
+ [Acquisizione del ruolo di esecuzione dell’utente](#sagemaker-roles-get-execution-role-user)
1. Per modificare un ruolo assunto da un’identità, consulta [Modifying a role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) in *AWS Identity and Access Management User Guide*.
Per ulteriori informazioni e istruzioni su come aggiungere le autorizzazioni alle identità IAM, consulta [Add or remove identity permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) in *AWS Identity and Access Management User Guide*.
## Passaggio dei ruoli
Azioni come il passaggio di un ruolo tra i servizi sono una funzione comune all'interno dell' SageMaker IA. Puoi trovare maggiori dettagli su [azioni, risorse e chiavi di condizione per l' SageMaker intelligenza artificiale](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) nel *Service Authorization Reference*.
Il ruolo viene passato (`iam:PassRole`) quando effettui le chiamate API seguenti: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) e [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Al ruolo IAM si allega la seguente politica di fiducia, che concede all' SageMaker IA le autorizzazioni principali per assumere il ruolo ed è la stessa per tutti i ruoli di esecuzione:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Le autorizzazioni che hai bisogno di concedere al ruolo variano a seconda dell'API che chiami. Le seguenti sezioni spiegano queste autorizzazioni.
**Nota**
Invece di gestire le autorizzazioni creando una politica di autorizzazione, puoi utilizzare la politica di autorizzazione -managed. AWS`AmazonSageMakerFullAccess` Le autorizzazioni contenute in questa politica sono abbastanza ampie, per consentire qualsiasi azione che potresti voler eseguire nell'intelligenza artificiale. SageMaker Per un elenco delle policy, incluse le informazioni sui motivi per l'aggiunta di molte autorizzazioni, consulta [AWS politica gestita: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Se si preferiscono creare policy personalizzate e gestire le autorizzazioni per limitarle alle sole azioni necessarie da eseguire con il ruolo di esecuzione, consultare i seguenti argomenti.
**Importante**
Se riscontri problemi, consulta [Risoluzione dei problemi di Amazon SageMaker AI Identity and Access](security_iam_troubleshoot.md).
Per ulteriori informazioni sui ruoli IAM, consulta [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) in *Informazioni di riferimento sull’autorizzazione del servizio*.
**Topics**
+ [Crea ruolo di esecuzione](#sagemaker-roles-create-execution-role)
+ [Acquisizione del ruolo di esecuzione](#sagemaker-roles-get-execution-role)
+ [Modifica del ruolo di esecuzione](#sagemaker-roles-change-execution-role)
+ [Modifica delle autorizzazioni per il ruolo di esecuzione](#sagemaker-roles-modify-to-execution-role)
+ [Passaggio dei ruoli](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob e API CreateAuto MLJob V2: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createdomain-perms)
+ [CreateImage e UpdateImage APIs: Autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: autorizzazioni per i ruoli di esecuzione](#sagemaker-roles-createmodel-perms)
+ [SageMaker funzionalità geospaziali, ruoli](sagemaker-geospatial-roles.md)
## CreateAutoMLJob e API CreateAuto MLJob V2: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateAutoMLJob` o `CreateAutoMLJobV2`, puoi collegare la policy di autorizzazione minima seguente al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Se specifichi un VPC privato per il tuo processo AutoML, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se l'input è crittografato utilizzando la crittografia lato server con una chiave AWS gestita da KMS (SSE-KMS), aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se specifichi una chiave KMS nella configurazione di output del processo AutoML, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se specifichi una chiave KMS del volume nella configurazione della risorsa del processo AutoML, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: autorizzazioni per i ruoli di esecuzione
Il ruolo di esecuzione per i domini con IAM Identity Center e il user/execution ruolo per i domini IAM richiedono le seguenti autorizzazioni quando si passa una chiave gestita AWS KMS dal cliente come `KmsKeyId` nella richiesta API. `CreateDomain` Le autorizzazioni vengono applicate durante la chiamata API `CreateApp`.
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateDomain`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
In alternativa, se le autorizzazioni sono specificate in una policy KMS, puoi collegare la seguente policy al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage e UpdateImage APIs: Autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateImage` o `UpdateImage`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: autorizzazioni per i ruoli di esecuzione
Le autorizzazioni che concedi al ruolo di esecuzione per la chiamata dell'API `CreateNotebookInstance` dipendono da ciò che intendi fare con l'istanza del notebook. Se prevedi di utilizzarlo per richiamare l' SageMaker intelligenza artificiale APIs e assegnare lo stesso ruolo quando chiami `CreateTrainingJob` e `CreateModel` APIs, allega al ruolo la seguente politica di autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Per ridurre le autorizzazioni, limitale a specifiche risorse Amazon S3 e Amazon ECR, limitando `"Resource": "*"`, come segue:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object1",
"arn:aws:s3:::outputbucket/path",
"arn:aws:s3:::inputbucket/object2",
"arn:aws:s3:::inputbucket/object3"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo1",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo2",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo3"
]
}
]
}
```
------
Se si prevede di accedere ad altre risorse, come Amazon DynamoDB o Amazon Relational Database Service, aggiungere le relative autorizzazioni a questa policy.
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito dell'autorizzazione `s3:ListBucket` nel bucket specifico da te specificato come `InputDataConfig.DataSource.S3DataSource.S3Uri` in una richiesta `CreateTrainingJob`.
+ Crea l'ambito delle autorizzazioni `s3:GetObject `, `s3:PutObject`e `s3:DeleteObject` come segue:
+ Crea l'ambito dei seguenti valori, da te specificato in una richiesta `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Crea l'ambito dei seguenti valori, da te specificato in una richiesta `CreateModel`:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ Crea l'ambito delle autorizzazioni `ecr`, come segue:
+ Crea l'ambito del valore `AlgorithmSpecification.TrainingImage` da te specificato in una richiesta `CreateTrainingJob`.
+ Crea l'ambito del valore `PrimaryContainer.Image` da te specificato in una richiesta `CreateModel`:
Le azioni `cloudwatch` e `logs` sono applicabili per le risorse "\$1". Per ulteriori informazioni, consulta [CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) nella Amazon CloudWatch User Guide.
## CreateHyperParameterTuningJob API: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateHyperParameterTuningJob`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Invece di specificare`"Resource": "*"`, puoi assegnare queste autorizzazioni a risorse specifiche di Amazon S3, Amazon ECR CloudWatch e Amazon Logs:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Se il container di addestramento associato al processo di regolazione degli iperparametri deve accedere ad altre origini dati, ad esempio a risorse DynamoDB o Amazon RDS, aggiungi le autorizzazioni rilevanti a questa policy.
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito dell'autorizzazione `s3:ListBucket` in un bucket specifico da te specificato come `InputDataConfig.DataSource.S3DataSource.S3Uri` in una richiesta `CreateTrainingJob`.
+ Crea l'ambito delle autorizzazioni `s3:GetObject `e `s3:PutObject` nei seguenti oggetti specificati nella configurazione di dati in entrata e in uscita in una richiesta `CreateHyperParameterTuningJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Crea l'ambito delle autorizzazioni Amazon ECR nel percorso di registro (`AlgorithmSpecification.TrainingImage`) da te specificato in una richiesta `CreateHyperParameterTuningJob`.
+ Valuta le autorizzazioni di Amazon CloudWatch Logs per registrare gruppi di lavori di SageMaker formazione.
Le azioni `cloudwatch` sono applicabili per le risorse "\$1". Per ulteriori informazioni, consulta [ CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) nella Amazon CloudWatch User Guide.
Se specifichi un VPC privato per il tuo processo di ottimizzazione degli iperparametri, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se l'input è crittografato utilizzando la crittografia lato server con una chiave AWS gestita da KMS (SSE-KMS), aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se specifichi una chiave KMS nella configurazione di output del processo di ottimizzazione iperparametri, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se specifichi una chiave KMS del volume nella configurazione della risorsa del processo di ottimizzazione iperparametri, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateProcessingJob`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Invece di specificare `"Resource": "*"`, puoi creare l'ambito delle autorizzazioni nelle risorse specifiche Amazon S3 e Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Se `CreateProcessingJob.AppSpecification.ImageUri` deve accedere ad altre origini dati, ad esempio le risorse DynamoDB o Amazon RDS, aggiungi autorizzazioni pertinenti a questa policy.
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito dell'autorizzazione `s3:ListBucket` in un bucket specifico da te specificato come `ProcessingInputs` in una richiesta `CreateProcessingJob`.
+ Crea l'ambito delle autorizzazioni `s3:GetObject ` e `s3:PutObject` agli oggetti che verranno scaricati o caricati in `ProcessingInputs` e `ProcessingOutputConfig` in una richiesta `CreateProcessingJob`.
+ Crea l'ambito delle autorizzazioni Amazon ECR nel percorso di registro (`AppSpecification.ImageUri`) da te specificato in una richiesta `CreateProcessingJob`.
Le azioni `cloudwatch` e `logs` sono applicabili per le risorse "\$1". Per ulteriori informazioni, consulta [CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) nella Amazon CloudWatch User Guide.
Se specifichi un VPC privato per il processo di elaborazione, aggiungi le seguenti autorizzazioni. Non definire l'ambito della policy con condizioni o filtri delle risorse. In caso contrario, i controlli di convalida effettuati durante la creazione del processo di elaborazione avranno esito negativo.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se l'input è crittografato utilizzando la crittografia lato server con una chiave AWS gestita da KMS (SSE-KMS), aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se specifichi una chiave KMS nella configurazione di output dell'attività di elaborazione, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se specifichi una chiave KMS del volume nella configurazione della risorsa dell'attività di elaborazione, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateTrainingJob`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Invece di specificare `"Resource": "*"`, puoi creare l'ambito delle autorizzazioni nelle risorse specifiche Amazon S3 e Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Se `CreateTrainingJob.AlgorithSpecifications.TrainingImage` deve accedere ad altre origini dati, ad esempio le risorse DynamoDB o Amazon RDS, aggiungi autorizzazioni pertinenti a questa policy.
Se si specifica una risorsa algoritmica utilizzando il `AlgorithmSpecification.AlgorithmArn` parametro, il ruolo di esecuzione deve disporre anche della seguente autorizzazione:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito dell'autorizzazione `s3:ListBucket` in un bucket specifico da te specificato come `InputDataConfig.DataSource.S3DataSource.S3Uri` in una richiesta `CreateTrainingJob`.
+ Crea l'ambito delle autorizzazioni `s3:GetObject `e `s3:PutObject` nei seguenti oggetti specificati nella configurazione di dati in entrata e in uscita in una richiesta `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Crea l'ambito delle autorizzazioni Amazon ECR nel percorso di registro (`AlgorithmSpecification.TrainingImage`) da te specificato in una richiesta `CreateTrainingJob`.
Le azioni `cloudwatch` e `logs` sono applicabili per le risorse "\$1". Per ulteriori informazioni, consulta [CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) nella Amazon CloudWatch User Guide.
Se specifichi un VPC privato per il tuo processo di addestramento, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se l'input è crittografato utilizzando la crittografia lato server con una chiave AWS gestita da KMS (SSE-KMS), aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se specifichi una chiave KMS nella configurazione di output del processo di addestramento, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se specifichi una chiave KMS del volume nella configurazione della risorsa del processo di addestramento, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API: autorizzazioni per i ruoli di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `CreateModel`, puoi collegare la seguente policy di autorizzazione al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Invece di specificare `"Resource": "*"`, puoi creare l'ambito delle autorizzazioni nelle risorse specifiche Amazon S3 e Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
]
}
]
}
```
------
Se `CreateModel.PrimaryContainer.Image` deve accedere ad altre origini dati, ad esempio le risorse Amazon DynamoDB o Amazon RDS, aggiungi autorizzazioni pertinenti a questa policy.
Nella policy precedente, crei l'ambito della policy come segue:
+ Crea l'ambito delle autorizzazioni S3 negli oggetti `PrimaryContainer.ModelDataUrl` in una richiesta [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
+ Crea l'ambito delle autorizzazioni ECR in un percorso di registro specifico da te specificato come `PrimaryContainer.Image` e `SecondaryContainer.Image` in una richiesta `CreateModel`.
Le azioni `cloudwatch` e `logs` sono applicabili per le risorse "\$1". Per ulteriori informazioni, consulta [CloudWatch Resources and Operations](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) nella Amazon CloudWatch User Guide.
**Nota**
Se prevedi di utilizzare la [funzionalità SageMaker AI Deployment Guardrails](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) per l'implementazione del modello in produzione, assicurati che il tuo ruolo di esecuzione sia autorizzato a eseguire l'`cloudwatch:DescribeAlarms`azione sugli allarmi di rollback automatico.
Se specifichi un VPC privato per il tuo modello, aggiungi le seguenti autorizzazioni:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
# SageMaker funzionalità geospaziali, ruoli
In quanto servizio gestito, Amazon SageMaker geospatial Capabilities esegue operazioni per tuo conto sull' AWS hardware gestito dall'intelligenza artificiale. SageMaker Utilizzalo AWS Identity and Access Management per concedere a utenti, gruppi e ruoli l'accesso a Geospatial. SageMaker
Un amministratore IAM può concedere queste autorizzazioni a utenti, gruppi o ruoli utilizzando Console di gestione AWS AWS CLI, o uno dei. AWS SDKs
**Per utilizzare SageMaker geospatial sono necessarie le seguenti autorizzazioni IAM.**
1. **Un SageMaker ruolo di esecuzione dell'IA.**
Per utilizzare le operazioni API specifiche per il settore SageMaker geospaziale, il ruolo di esecuzione dell' SageMaker IA deve includere il responsabile del servizio SageMaker geospaziale, `sagemaker-geospatial.amazonaws.com` nella politica di fiducia del ruolo di esecuzione. Ciò consente al ruolo di esecuzione dell' SageMaker IA di eseguire azioni per tuo conto. Account AWS
1. **Un utente, gruppo o ruolo che ha accesso ad Amazon SageMaker Studio Classic e SageMaker geospatial**
Per iniziare a usare SageMaker geospatial puoi utilizzare la policy gestita:. AWS `AmazonSageMakerGeospatialFullAccess` Queste sovvenzioni garantiranno a un utente, gruppo o ruolo l'accesso completo a geospatial. SageMaker Per visualizzare la policy e saperne di più su quali azioni, risorse e condizioni sono disponibili, consulta [AWS politica gestita: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Per iniziare a usare Studio Classic e creare un dominio Amazon SageMaker AI, consulta[Panoramica del dominio Amazon SageMaker AI](gs-studio-onboard.md).
Utilizza i seguenti argomenti per creare un nuovo ruolo di esecuzione SageMaker AI, aggiornare un ruolo di esecuzione SageMaker AI esistente e imparare a gestire le autorizzazioni utilizzando azioni, risorse e condizioni IAM SageMaker geospaziali specifiche.
**Topics**
+ [Creazione di un nuovo ruolo di esecuzione dell'IA SageMaker](sagemaker-geospatial-roles-create-execution-role.md)
+ [Aggiungere il responsabile del servizio SageMaker geospaziale a un ruolo di esecuzione dell'IA esistente SageMaker](sagemaker-geospatial-roles-pass-role.md)
+ [API `StartEarthObservationJob`: autorizzazioni del ruolo di esecuzione](sagemaker-roles-start-eoj-perms.md)
+ [API `StartVectorEnrichmentJob`: autorizzazioni del ruolo di esecuzione](sagemaker-roles-start-vej-perms.md)
+ [API `ExportEarthObservationJob`: autorizzazioni del ruolo di esecuzione](sagemaker-roles-export-eoj-perms.md)
+ [API `ExportVectorEnrichmentJob`: autorizzazioni del ruolo di esecuzione](sagemaker-roles-export-vej-perms.md)
# Creazione di un nuovo ruolo di esecuzione dell'IA SageMaker
Per utilizzare le funzionalità SageMaker geospaziali, è necessario impostare un utente, un gruppo o un ruolo e un ruolo di esecuzione. Un ruolo utente è un' AWS identità con politiche di autorizzazioni che determinano ciò che l'utente può e non può fare all'interno. AWS Un ruolo di esecuzione è un ruolo IAM che concede al servizio il permesso di accedere alle risorse AWS . Un ruolo di esecuzione è costituito da autorizzazioni e policy di attendibilità La policy di attendibilità specifica quali principali sono autorizzati ad assumere il ruolo.
SageMaker geospaziale richiede anche un servizio principale diverso,. `sagemaker-geospatial.amazonaws.com` Se sei già un cliente di SageMaker intelligenza artificiale, devi aggiungere questo principio di servizio aggiuntivo alla tua politica di fiducia.
Utilizza la seguente procedura per creare un nuovo ruolo di esecuzione con la policy gestita IAM, `AmazonSageMakerGeospatialFullAccess`, collegata. Se il tuo caso d'uso richiede autorizzazioni più granulari, utilizza le altre sezioni di questa guida per creare un ruolo di esecuzione che soddisfi le tue esigenze aziendali.
**Importante**
La policy gestita IAM, `AmazonSageMakerGeospatialFullAccess`, utilizzata nella seguente procedura, concede al ruolo di esecuzione solo l'autorizzazione a eseguire determinate azioni di Amazon S3 su bucket o oggetti con `SageMaker`, `Sagemaker`, `sagemaker` o `aws-glue` nel nome. Per informazioni su come aggiornare la policy del ruolo di esecuzione per concedere l'accesso ad altri bucket e oggetti Amazon S3, consulta [Aggiungi autorizzazioni Amazon S3 aggiuntive a un SageMaker ruolo di esecuzione AI](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**Per creare un nuovo ruolo**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleziona **Ruoli**, quindi **Crea ruolo**.
1. Seleziona **SageMaker**.
1. Seleziona **Successivo: autorizzazioni**.
1. La policy gestita IAM, `AmazonSageMakerGeospatialFullAccess`, viene collegata automaticamente a questo ruolo. Per visualizzare le autorizzazioni incluse in questa policy, scegli la freccia laterale accanto al nome della policy. Seleziona **Successivo: tag**.
1. (Facoltativo) Aggiungi tag e seleziona **Successivo: revisione**.
1. Assegna un nome al ruolo nel campo di testo sotto **Nome ruolo** e seleziona **Crea ruolo**.
1. Nella sezione **Ruoli** della console IAM, seleziona il ruolo che hai appena creato alla fase 7. Se necessario, utilizza la casella di testo per cercare il ruolo utilizzando il nome del ruolo inserito alla fase 7.
1. Nella pagina Riepilogo ruolo, annota l’ARN.
# Aggiungere il responsabile del servizio SageMaker geospaziale a un ruolo di esecuzione dell'IA esistente SageMaker
Per utilizzare le operazioni API specifiche per il SageMaker settore geospaziale, il ruolo di esecuzione dell' SageMaker IA deve includere il responsabile del servizio SageMaker geospaziale nella politica di fiducia del ruolo di esecuzione. `sagemaker-geospatial.amazonaws.com` Ciò consente al ruolo di esecuzione dell' SageMaker IA di eseguire azioni per tuo conto. Account AWS
Azioni come il trasferimento di un ruolo tra i servizi sono comuni all'interno dell' SageMaker IA. Per ulteriori dettagli,
Per aggiungere il responsabile del servizio SageMaker geospaziale a un ruolo di esecuzione dell' SageMaker IA esistente, aggiorna la politica esistente in modo da includere il principale del servizio SageMaker geospaziale, come mostrato nella seguente politica di fiducia. Associando il responsabile del servizio alla policy di fiducia, un ruolo di esecuzione dell' SageMaker IA può ora eseguire lo specifico geospaziale per tuo conto. SageMaker APIs
*Per saperne di più sulle azioni, le risorse e le condizioni IAM specifiche per il settore SageMaker geospaziale, consulta Actions, [Resources and Condition Keys for SageMaker ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) AI nella IAM User Guide.*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# API `StartEarthObservationJob`: autorizzazioni del ruolo di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `StartEarthObservationJob`, puoi collegare la seguente policy di autorizzazione minima al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Se il bucket Amazon S3 di input è crittografato utilizzando la crittografia lato server con una chiave AWS KMS gestita (SSE-KMS), consulta Using [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Bucket Keys per ulteriori informazioni.
# API `StartVectorEnrichmentJob`: autorizzazioni del ruolo di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `StartVectorEnrichmentJob`, puoi collegare la seguente policy di autorizzazione minima al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Se il bucket Amazon S3 di input è crittografato utilizzando la crittografia lato server con una chiave AWS KMS gestita (SSE-KMS), consulta Using [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Bucket Keys per ulteriori informazioni.
# API `ExportEarthObservationJob`: autorizzazioni del ruolo di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `ExportEarthObservationJob`, puoi collegare la seguente policy di autorizzazione minima al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Se il bucket Amazon S3 di input è crittografato utilizzando la crittografia lato server con una chiave AWS KMS gestita (SSE-KMS), consulta Using [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Bucket Keys per ulteriori informazioni.
# API `ExportVectorEnrichmentJob`: autorizzazioni del ruolo di esecuzione
Per un ruolo di esecuzione che puoi passare in una richiesta API `ExportVectorEnrichmentJob`, puoi collegare la seguente policy di autorizzazione minima al ruolo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
[Se il bucket Amazon S3 di input è crittografato utilizzando la crittografia lato server con una chiave AWS KMS gestita (SSE-KMS), consulta Utilizzo delle chiavi bucket Amazon S3.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)
# Gestore SageMaker ruoli Amazon
Gli amministratori di machine learning (ML) che cercano di ottenere autorizzazioni con privilegi minimi con SageMaker Amazon AI devono tenere conto di una varietà di prospettive del settore, comprese le esigenze di accesso con privilegi minimi richieste a personalità come data scientist, tecnici operativi di machine learning () e altro ancora. MLOps Usa Amazon SageMaker Role Manager per creare e gestire ruoli IAM basati sulla persona per esigenze comuni di machine learning direttamente tramite la console Amazon SageMaker AI.
Amazon SageMaker Role Manager fornisce 3 personaggi di ruolo preconfigurati e autorizzazioni predefinite per attività di machine learning comuni. Scopri gli utenti forniti e le relative policy suggerite oppure crea e gestisci ruoli per personaggi specifici per le tue esigenze aziendali. Se hai bisogno di ulteriori personalizzazioni, specifica le autorizzazioni di rete e crittografia per le risorse di [Amazon Virtual Private Cloud](https://aws.amazon.com/vpc/) e le chiavi [Fase 1: inserimento delle informazioni sul ruolo](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) di [AWS Key Management Service](https://aws.amazon.com/kms/)crittografia in Amazon SageMaker Role Manager.
**Topics**
+ [Utilizzo del gestore dei ruoli (console)](role-manager-tutorial.md)
+ [Utilizzo del Gestore del ruolo (AWS CDK)](role-manager-tutorial-cdk.md)
+ [Riferimento utente](role-manager-personas.md)
+ [Riferimento all'attività ML](role-manager-ml-activities.md)
+ [Avvio di Studio Classic](role-manager-launch-notebook.md)
+ [Gestore dei ruoli FAQs](role-manager-faqs.md)
# Utilizzo del gestore dei ruoli (console)
Puoi utilizzare Amazon SageMaker Role Manager dalle seguenti posizioni nella barra di navigazione a sinistra della console Amazon SageMaker AI:
+ **Inizia subito**: aggiungi rapidamente policy di autorizzazione per i tuoi utenti.
+ **domini**: aggiungi politiche di autorizzazione per gli utenti all'interno di un dominio Amazon SageMaker AI.
+ **Notebook**: aggiungi il numero minimo di autorizzazioni per gli utenti che creano ed eseguono notebook.
+ **Addestramento**: aggiungi le autorizzazioni minime per gli utenti che creano e gestiscono processi di addestramento
+ **Inferenza**: aggiungi le autorizzazioni minime per gli utenti che distribuiscono e gestiscono modelli per l'inferenza.
Puoi utilizzare le seguenti procedure per avviare il processo di creazione di un ruolo da diverse posizioni nella console di SageMaker intelligenza artificiale.
## Nozioni di base
Se utilizzi l' SageMaker intelligenza artificiale per la prima volta, ti consigliamo di creare un ruolo dalla sezione **Guida introduttiva**.
Per creare un ruolo utilizzando Amazon SageMaker Role Manager, procedi come segue.
1. Apri la console Amazon SageMaker AI.
1. Nel riquadro di navigazione a sinistra, scegli **Configurazioni amministrative**.
1. In **Configurazioni Amministratori**, scegli **Gestore del ruolo**.
1. Scegli **Crea un ruolo**.
## domains
Puoi creare un ruolo utilizzando Amazon SageMaker Role Manager quando avvii il processo di creazione di un dominio Amazon SageMaker AI.
Per creare un ruolo utilizzando Amazon SageMaker Role Manager, procedi come segue.
1. Apri la console Amazon SageMaker AI.
1. Nel riquadro di navigazione a sinistra, scegli **Configurazioni admin**.
1. In **Configurazioni di amministrazione**, scegli **Domini**.
1. Scegli **Crea dominio**.
1. Scegli **Crea ruolo utilizzando la procedura guidata per la creazione dei ruoli**.
## Notebook
Puoi creare un ruolo utilizzando Amazon SageMaker Role Manager quando inizi il processo di creazione di un notebook.
Per creare un ruolo utilizzando Amazon SageMaker Role Manager, procedi come segue.
1. Apri la console Amazon SageMaker AI.
1. Nel pannello di navigazione a sinistra, seleziona **Notebook**.
1. Scegli **Notebook instances (istanze del notebook)**.
1. Scegliere **Create notebook instance (Crea un'istanza del notebook)**.
1. Scegli **Crea ruolo utilizzando la procedura guidata per la creazione dei ruoli**.
## Addestramento
Puoi creare un ruolo utilizzando Amazon SageMaker Role Manager quando inizi il processo di creazione di un lavoro di formazione.
Per creare un ruolo utilizzando Amazon SageMaker Role Manager, procedi come segue.
1. Apri la console Amazon SageMaker AI.
1. Nel pannello di navigazione a sinistra, scegli **Addestramento**.
1. Scegli **Processi di addestramento**.
1. Scegliere **Crea processo di addestramento**.
1. Scegli **Crea ruolo utilizzando la procedura guidata per la creazione dei ruoli**.
## Inferenza
Puoi creare un ruolo utilizzando Amazon SageMaker Role Manager quando inizi il processo di distribuzione di un modello per l'inferenza.
Per creare un ruolo utilizzando Amazon SageMaker Role Manager, procedi come segue.
1. Apri la console Amazon SageMaker AI.
1. Nel pannello di navigazione a sinistra, scegli **Inferenza**.
1. Seleziona **Modelli**.
1. Scegli **Crea modello**.
1. Scegli **Crea ruolo utilizzando la procedura guidata per la creazione dei ruoli**.
Dopo aver completato una delle procedure precedenti, utilizza le informazioni nelle sezioni seguenti per creare il ruolo.
## Prerequisiti
Per utilizzare Amazon SageMaker Role Manager, devi disporre dell'autorizzazione per creare un ruolo IAM. Questa autorizzazione è generalmente disponibile per gli amministratori di machine learning e per i ruoli con privilegi minimi per i professionisti del machine learning.
Puoi assumere temporaneamente un ruolo IAM in Console di gestione AWS [cambiando ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Per ulteriori informazioni sui metodi per l’utilizzo dei ruoli, consulta [Utilizzo di ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) nella *Guida per l’utente IAM*.
## Fase 1: inserimento delle informazioni sul ruolo
Fornisci un nome da utilizzare come suffisso univoco del tuo nuovo ruolo SageMaker AI. Per impostazione predefinita, il prefisso `"sagemaker-"` viene aggiunto a ogni nome ruolo per facilitare la ricerca nella console IAM. Ad esempio, se dai un nome al ruolo `test-123` durante la creazione del ruolo, il ruolo viene visualizzato come `sagemaker-test-123` nella console IAM. Facoltativamente, puoi anche aggiungere una descrizione del ruolo per fornire ulteriori dettagli.
Quindi, scegli uno dei profili disponibili per ottenere le autorizzazioni suggerite per personaggi come data scientist, ingegneri dei dati o ingegneri addetti alle operazioni di machine learning (). MLOps Per informazioni sugli utenti disponibili e sulle relative autorizzazioni suggerite, consulta [Riferimento utente](role-manager-personas.md). Per creare un ruolo senza alcuna autorizzazione suggerita che ti guidi, scegli **Impostazioni ruolo personalizzate**.
**Nota**
Ti consigliamo di utilizzare innanzitutto il role manager per creare un SageMaker AI Compute Role in modo che le risorse di calcolo SageMaker AI abbiano la capacità di eseguire attività come la formazione e l'inferenza. Usa il personaggio SageMaker AI Compute Role per creare questo ruolo con il gestore dei ruoli. Dopo aver creato un SageMaker AI Compute Role, prendi nota del relativo ARN per utilizzi futuri.
### Condizioni di rete e crittografia
Ti consigliamo di attivare la personalizzazione VPC per utilizzare configurazioni VPC, sottoreti e gruppi di sicurezza con policy IAM associate al tuo nuovo ruolo. Quando la personalizzazione VPC è attivata, le policy IAM per le attività di machine learning che interagiscono con le risorse VPC vengono limitate per l'accesso con privilegi minimi. Per impostazione predefinita, la personalizzazione VPC non è attivata. Per maggiori dettagli sull'architettura di rete consigliata, consulta [Architettura di rete](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/networking-architecture.html) nella *AWS Guida tecnica*.
Puoi anche utilizzare una chiave KMS per crittografare, decrittare e ricrittografare i dati per carichi di lavoro regolamentati con dati altamente sensibili. Quando AWS KMS la personalizzazione è attivata, le politiche IAM per le attività di machine learning che supportano chiavi di crittografia personalizzate vengono limitate per consentire l'accesso con privilegi minimi. Per ulteriori informazioni, consulta [Crittografia con AWS KMS](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/encryption-with-kms.html) nella *AWS Guida tecnica*.
## Fase 2: configurazione delle attività ML
Ogni attività di Amazon SageMaker Role Manager ML include autorizzazioni IAM suggerite per fornire l'accesso alle AWS risorse pertinenti. Alcune attività di machine learning richiedono l'aggiunta di un ruolo di servizio ARNs per completare la configurazione. Per informazioni sulle attività ML predefinite e sulle relative autorizzazioni, consulta [Riferimento all'attività ML](role-manager-ml-activities.md). Per ulteriori informazioni sull'aggiunta di questi ruoli di servizio, consulta [Ruoli di servizio](#role-manager-tutorial-configure-ml-activities-service-roles).
In base all’utente scelto, alcune attività ML sono già selezionate. Puoi deselezionare qualsiasi attività ML suggerita o selezionare attività aggiuntive per creare il tuo ruolo. Se hai selezionato la funzione Impostazioni personalizzate del ruolo, in questa fase non viene preselezionata alcuna attività ML.
Puoi aggiungere qualsiasi policy IAM aggiuntiva AWS o gestita dal cliente al tuo ruolo in. [Fase 3: aggiunta di policy e tag aggiuntivi](#role-manager-tutorial-add-policies-and-tags)
### Ruoli di servizio
Alcuni AWS servizi richiedono un ruolo di servizio per eseguire azioni per tuo conto. Se l'attività ML selezionata richiede l'assegnazione di un ruolo di servizio, è necessario fornire l'ARN per quel ruolo di servizio.
Puoi creare un nuovo ruolo di servizio o utilizzarne uno esistente, ad esempio un ruolo di servizio creato con la persona SageMaker AI Compute Role. Puoi trovare l'ARN di un ruolo esistente selezionando il nome del ruolo nella sezione Ruoli della [console IAM](https://console.aws.amazon.com/iamv2/). Per ulteriori informazioni sui ruoli di servizio, consulta [Creazione di un ruolo per un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
## Fase 3: aggiunta di policy e tag aggiuntivi
Puoi aggiungere qualsiasi policy IAM esistente AWS o gestita dal cliente al tuo nuovo ruolo. Per informazioni sulle politiche SageMaker AI esistenti, consulta [AWS Managed Policies for Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html). Puoi anche controllare le policy esistenti nella sezione **Ruoli** della [console IAM.](https://console.aws.amazon.com/iamv2/)
Facoltativamente, utilizza condizioni politiche basate su tag per assegnare informazioni sui metadati per classificare e gestire le risorse. AWS Ogni tag è rappresentato da una coppia chiave-valore. Per ulteriori informazioni, consulta [Controllo dell'accesso alle risorse AWS usando tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
## Verifica ruolo
Prenditi il tempo necessario per esaminare tutte le informazioni associate al tuo nuovo ruolo. Scegli **Precedente** per tornare indietro e modificare qualsiasi informazione. Quando si è pronti per creare il ruolo, scegli **Crea ruolo**. Questo genera un ruolo con autorizzazioni per le attività ML selezionate Puoi visualizzare il tuo nuovo ruolo nella sezione **Ruoli** della [console IAM](https://console.aws.amazon.com/iamv2/).
# Utilizzo del Gestore del ruolo (AWS CDK)
Utilizza AWS Cloud Development Kit (AWS CDK) con Amazon SageMaker Role Manager per creare ruoli e impostare autorizzazioni in modo programmatico. Puoi utilizzare il AWS CDK per eseguire qualsiasi attività che potresti eseguire utilizzando. Console di gestione AWS L'accesso programmatico al CDK semplifica la fornitura di autorizzazioni che consentono agli utenti di accedere a risorse specifiche. Per ulteriori informazioni su AWS CDK, vedi [Cos'è AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html)
**Importante**
È necessario utilizzare il personaggio SageMaker AI Compute Role per creare un SageMaker AI Compute Role. Per ulteriori informazioni sulla funzione calcolo, consulta la colonna [SageMaker Persona computerizzata AI](role-manager-personas.md#role-manager-personas-compute). Per il codice che puoi usare per creare il ruolo di calcolo all'interno di, vedi. AWS CDK[Concedi le autorizzazioni a un utente che si occupa di Calcolo](#role-manager-cdk-compute-persona)
Di seguito sono riportati alcuni esempi di attività che è possibile eseguire in AWS CDK:
+ Crea ruoli IAM con autorizzazioni granulari per personaggi del machine learning (ML), come data scientist e ingegneri. MLOps
+ Concedi le autorizzazioni ai costrutti CDK di utenti ML o attività di machine learning.
+ Imposta i parametri delle condizioni di attività ML.
+ Abilita Amazon VPC e AWS Key Management Service condizioni globali e imposta i relativi valori.
+ Scegli tra tutte le versioni delle attività ML per i tuoi utenti senza causare interruzioni nel loro accesso.
Esistono AWS attività comuni relative all'apprendimento automatico (ML) con SageMaker intelligenza artificiale che richiedono autorizzazioni IAM specifiche. Le autorizzazioni per eseguire le attività sono definite come attività di machine learning in Amazon SageMaker Role Manager. Le attività ML specificano un set di autorizzazioni collegate al ruolo IAM. Ad esempio, l'attività ML per Amazon SageMaker Studio Classic dispone di tutte le autorizzazioni necessarie a un utente per accedere a Studio Classic. Per ulteriori informazioni su Attività ML, consulta [Riferimento all'attività ML](role-manager-ml-activities.md).
Quando crei ruoli, definisci innanzitutto i costrutti per l’utente o l'attività ML. Un costrutto è una risorsa all'interno dello AWS CDK stack. Ad esempio, un costrutto potrebbe essere un bucket Amazon S3, una sottorete Amazon VPC o un ruolo IAM.
Durante la creazione dell’utente o dell'attività, puoi limitare le autorizzazioni associate a quell’utente o attività a risorse specifiche. Ad esempio, puoi personalizzare l'attività in modo da fornire le autorizzazioni solo per una sottorete specifica all'interno di un Amazon VPC.
Dopo aver definito le autorizzazioni, puoi creare ruoli e poi passare tali ruoli per creare altre risorse, come SageMaker le istanze di notebook.
Di seguito sono riportati esempi di codice in Typescript per le attività che è possibile eseguire utilizzando CDK. Quando crei un'attività, specifica un ID e le opzioni per il costrutto dell'attività. Le opzioni sono dizionari che specificano i parametri richiesti per le attività, come Amazon S3. Si passa un dizionario vuoto per le attività che non hanno parametri richiesti.
## Concedi le autorizzazioni a un utente che si occupa di Calcolo
Il codice seguente crea un utente di Data Scientist ML con una serie di attività ML specifiche per quell’utente. Le autorizzazioni delle attività di machine learning si applicano solo ad Amazon VPC AWS KMS e alle configurazioni specificate nel costrutto persona. Il codice seguente crea una classe per un personaggio di Data Scientist. Le attività ML sono definite nell'elenco delle attività. Le autorizzazioni VPC e le autorizzazioni KMS sono definite come parametri opzionali al di fuori dell'elenco delle attività.
Dopo aver definito la classe, puoi creare un ruolo come costrutto all'interno dello stack. AWS CDK È anche possibile creare un'istanza del notebook. La persona che utilizza il ruolo IAM che hai creato nel codice seguente può accedere all'istanza del notebook quando accede al proprio AWS account.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.accessAwsServices(this, 'example-id1', {})
]
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Concedi le autorizzazioni a un utente Data Scientist
Il codice seguente crea un utente di Data Scientist ML con una serie di attività ML specifiche per quell’utente. Le autorizzazioni delle attività ML si applicano solo a VPC e alle configurazioni KMS specificate nel costrutto dell’utente. Il codice seguente crea una classe per un personaggio di Data Scientist. Le attività ML sono definite nell'elenco delle attività. Le autorizzazioni Amazon VPC e le AWS KMS autorizzazioni sono definite come parametri opzionali al di fuori dell'elenco delle attività.
Dopo aver definito la classe, puoi creare un ruolo come costrutto all'interno dello stack. AWS CDK È anche possibile creare un'istanza del notebook. La persona che utilizza il ruolo IAM che hai creato nel codice seguente può accedere all'istanza del notebook quando accede al proprio AWS account.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageJobs(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageModels(this, 'example-id3', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageExperiments(this, 'example-id4', {}),
Activity.visualizeExperiments(this, 'example-id5', {}),
Activity.accessS3Buckets(this, 'example-id6', {s3buckets: [s3.S3Bucket.fromBucketName('amzn-s3-demo-bucket')]})
],
// optional: to configure VPC permissions
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
// optional: to configure KMS permissions
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
const notebookInstance = new CfnNotebookInstance(this, 'example-notebook-instance-name', { RoleArn: role.RoleArn, ...});
}
}
```
## Concedi le autorizzazioni a un utente ML Ops
Il codice seguente crea un utente ML Ops con una serie di attività ML specifiche per quell’utente. Le autorizzazioni delle attività di machine learning si applicano solo ad Amazon VPC AWS KMS e alle configurazioni specificate nel costrutto persona. Il codice seguente crea una classe per un utente ML Ops. Le attività ML sono definite nell'elenco delle attività. Le autorizzazioni VPC e le autorizzazioni KMS sono definite come parametri opzionali al di fuori dell'elenco delle attività.
Dopo aver definito la classe, puoi creare un ruolo come costrutto all'interno dello stack. AWS CDK Puoi anche creare un profilo utente Amazon SageMaker Studio Classic. La persona che utilizza il ruolo IAM che hai creato nel codice seguente può aprire SageMaker Studio Classic quando accede al proprio AWS account.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
let userProfile = new CfnNUserProfile(this, 'example-Studio Classic-profile-name', { RoleName: role.RoleName, ... });
}
}
```
## Concedi le autorizzazioni a un costrutto
Il codice seguente crea un utente ML Ops con una serie di attività ML specifiche per quell’utente. Il codice seguente crea una classe per un utente ML Ops. Le attività ML sono definite nell'elenco delle attività.
Dopo aver definito la classe, puoi creare un ruolo come costrutto all'interno dello AWS CDK stack. È anche possibile creare un'istanza del notebook. Il codice concede le autorizzazioni delle attività ML al ruolo IAM della funzione Lambda.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
});
const lambdaFn = lambda.Function.fromFunctionName('example-lambda-function-name');
persona.grantPermissionsTo(lambdaFn);
}
}
```
## Concedi le autorizzazioni per una singola attività ML
Il codice seguente crea un'attività ML e crea un ruolo a partire dall'attività. Le autorizzazioni dell'attività si applicano solo alla configurazione VPC e KMS specificata per l'utente.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = activity.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Crea un ruolo e assegnagli le autorizzazioni per una singola attività
Il codice seguente crea un ruolo IAM per una singola attività ML.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
});
activity.create_role(this, 'example-IAM-role-id', 'example-IAM-role-name')
}
}
```
# Riferimento utente
Amazon SageMaker Role Manager fornisce autorizzazioni suggerite per diversi personaggi del machine learning. Questi includono ruoli di esecuzione degli utenti per le responsabilità comuni dei professionisti del machine learning e ruoli di esecuzione dei servizi per le interazioni di AWS servizio comuni necessarie per lavorare con l'IA. SageMaker
Ogni utente ha suggerito delle autorizzazioni sotto forma di attività di machine learning selezionate. Per informazioni sulle attività ML predefinite e sulle relative autorizzazioni, consulta [Riferimento all'attività ML](role-manager-ml-activities.md).
## Utente data scientist
Usa questa persona per configurare le autorizzazioni per eseguire lo sviluppo e la sperimentazione generali di machine learning in un ambiente di intelligenza artificiale. SageMaker Questo utente include le seguenti attività ML preselezionate:
+ Esecuzione di applicazioni Studio Classic
+ Gestione di processi ML
+ Gestione dei modelli
+ Gestisci tabelle AWS Glue
+ Servizi IA di Canvas
+ Tela MLOps
+ Accesso Kendra di Canvas
+ Usa MLflow
+ Accesso richiesto ai AWS Servizi per MLflow
+ Esecuzione di applicazioni ERM Serverless in Studio
## MLOps persona
Scegli questo utente per configurare le autorizzazioni per le attività operative. Questo utente include le seguenti attività ML preselezionate:
+ Esecuzione di applicazioni Studio Classic
+ Gestione dei modelli
+ Gestione delle pipeline
+ Ricerca e visualizzazione degli esperimenti
+ Accesso completo ad Amazon S3
## SageMaker Persona computerizzata AI
**Nota**
Ti consigliamo di utilizzare innanzitutto il gestore dei ruoli per creare un SageMaker AI Compute Role in modo che le risorse di calcolo SageMaker AI possano eseguire attività come la formazione e l'inferenza. Usa il personaggio SageMaker AI Compute Role per creare questo ruolo con il gestore dei ruoli. Dopo aver creato un SageMaker AI Compute Role, prendi nota del relativo ARN per utilizzi futuri.
Questo utente include le seguenti attività ML preselezionate:
+ Accedi ai servizi richiesti AWS
# Riferimento all'attività ML
Le attività di machine learning sono AWS attività comuni relative all'apprendimento automatico con l' SageMaker intelligenza artificiale che richiedono autorizzazioni IAM specifiche. Ogni [persona](https://docs.aws.amazon.com/sagemaker/latest/dg/role-manager-personas.html) suggerisce attività di machine learning correlate durante la creazione di un ruolo con Amazon SageMaker Role Manager. Puoi selezionare qualsiasi attività ML aggiuntiva o deselezionare qualsiasi attività ML suggerita per creare un ruolo che soddisfi le tue esigenze aziendali specifiche.
Amazon SageMaker Role Manager fornisce autorizzazioni predefinite per le seguenti attività di machine learning:
****
| **Attività ML** | **Descrizione** |
| --- | --- |
| Accedi ai servizi richiesti AWS | Autorizzazioni per accedere ad Amazon S3, Amazon ECR, Amazon e CloudWatch Amazon EC2. Richiesto per i ruoli di esecuzione per processi ed endpoint. |
| Esecuzione di applicazioni Studio Classic | Autorizzazioni per operare all’interno di un ambiente Studio Classic. Richiesto per i ruoli di esecuzione del dominio e del profilo utente. |
| Gestione di processi ML | Autorizzazioni per controllare, interrogare l’eredità e visualizzare gli esperimenti. |
| Gestione dei modelli | Autorizzazioni per gestire i lavori di SageMaker intelligenza artificiale per tutto il loro ciclo di vita. |
| Gestione delle pipeline | Autorizzazioni per gestire SageMaker le pipeline e le esecuzioni delle pipeline. |
| Ricerca e visualizzazione degli esperimenti | Autorizzazioni per controllare, interrogare la provenienza e visualizzare esperimenti di intelligenza artificiale. SageMaker |
| Gestisci Monitoraggio modello | Autorizzazioni per gestire le pianificazioni di monitoraggio per SageMaker AI Model Monitor. |
| Accesso completo ad Amazon S3 | Autorizzazioni per eseguire tutte le operazioni di Amazon S3. |
| Accesso Amazon S3 Bucket | Autorizzazioni per eseguire operazioni su bucket Amazon S3 specifici. |
| Gruppi di lavoro Query Athena | Autorizzazioni per eseguire e gestire le query Amazon Athena. |
| Gestisci le tabelle AWS Glue | Autorizzazioni per creare e gestire AWS Glue tabelle per SageMaker AI Feature Store e Data Wrangler. |
| SageMaker Accesso principale a Canvas | Autorizzazioni per eseguire sperimentazioni in SageMaker Canvas (ad esempio, preparazione dei dati di base, creazione del modello, convalida). |
| SageMaker Canvas Data Preparation (con tecnologia Data Wrangler) | Autorizzazioni per eseguire la preparazione end-to-end dei dati in SageMaker Canvas (ad esempio, aggregare, trasformare e analizzare i dati, creare e pianificare lavori di preparazione dei dati su set di dati di grandi dimensioni). |
| SageMaker Servizi AI Canvas | Autorizzazioni per accedere ai ready-to-use modelli di Amazon Bedrock, Amazon Textract, Amazon Rekognition e Amazon Comprehend. Inoltre, l'utente può ottimizzare i modelli di base da Amazon Bedrock e Amazon. SageMaker JumpStart |
| SageMaker Canvas MLOps | Autorizzazione per gli utenti SageMaker Canvas a distribuire direttamente il modello sull'endpoint. |
| SageMaker Canvas Kendra Access | Autorizzazione per SageMaker Canvas ad accedere ad Amazon Kendra per la ricerca di documenti aziendali. L’autorizzazione viene concessa solo ai nomi di indice selezionati in Amazon Kendra. |
| Usa MLflow | Autorizzazioni per gestire esperimenti, esecuzioni e modelli in MLflow. |
| Gestisci i server MLflow di tracciamento | Autorizzazioni per gestire, avviare e interrompere i server di MLflow tracciamento. |
| Accesso richiesto ai AWS Servizi per MLflow | Autorizzazioni per i server di MLflow tracciamento per accedere a S3, Secrets Manager e Model Registry. |
| Esecuzione di applicazioni ERM Serverless in Studio | Autorizzazioni per creare e gestire applicazioni serverless EMR su Amazon Studio. SageMaker |
# Avvio di Studio Classic
Utilizza i ruoli incentrati sugli utenti tipo per avviare Studio Classic. Se sei un amministratore, puoi concedere ai tuoi utenti l'accesso a Studio Classic e fare in modo che assumano il loro ruolo personale direttamente tramite Console di gestione AWS o tramite AWS IAM Identity Center.
## Avvia Studio Classic con Console di gestione AWS
Per poter assumere il proprio utente tipo tramite Console di gestione AWS, i Data Scientist o altri utenti hanno bisogno di un ruolo della console per accedere all’ambiente Studio Classic.
Non puoi utilizzare Amazon SageMaker Role Manager per creare un ruolo che conceda autorizzazioni a. Console di gestione AWS Tuttavia, dopo aver creato un ruolo di servizio nel gestore dei ruoli, puoi accedere alla console IAM per modificare il ruolo e aggiungere un ruolo di accesso utente. Di seguito è riportato un esempio di ruolo che fornisce l'accesso utente a Console di gestione AWS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeCurrentDomain",
"Effect": "Allow",
"Action": "sagemaker:DescribeDomain",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:domain/"
},
{
"Sid": "RemoveErrorMessagesFromConsole",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAcceptedPortfolioShares",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:ListModels",
"sagemaker:ListTrainingJobs",
"servicecatalog:ListPrincipalsForPortfolio",
"sagemaker:ListNotebookInstances",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "RequiredForAccess",
"Effect": "Allow",
"Action": [
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": "*"
},
{
"Sid": "CreatePresignedURLForAccessToDomain",
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedDomainUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:user-profile//"
}
]
}
```
------
Nel pannello di controllo di Studio Classic, scegli **Aggiungi utente** per creare un nuovo utente. Nella sezione **Impostazioni generali**, assegna un nome al tuo utente e imposta il **ruolo di esecuzione predefinito** per l'utente in modo che sia il ruolo che hai creato utilizzando Amazon SageMaker Role Manager.
Nella schermata successiva, scegli la versione di Jupyter Lab appropriata e se attivare SageMaker JumpStart i modelli di progetto SageMaker AI. Quindi scegli **Successivo**. Nella pagina delle impostazioni di SageMaker Canvas, scegli se attivare il supporto SageMaker Canvas e inoltre se consentire la previsione delle serie temporali in Canvas. SageMaker Quindi, scegliere **Invia**.
Ora, il nuovo utente dovrebbe essere visibile nel pannello di controllo di Studio Classic. Per testare questo utente, scegli **Studio** dall'elenco a discesa **dell'app Avvia** nella stessa riga del nome dell'utente.
## Avvio di Studio Classic con il Centro identità IAM
Per assegnare gli utenti IAM Identity Center ai ruoli di esecuzione, l'utente deve prima esistere nella directory IAM Identity Center. Per ulteriori informazioni, consulta la sezione [Gestione delle identità in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) in *AWS IAM Identity Center*.
**Nota**
La directory di autenticazione del Centro identità IAM e il dominio Studio Classic devono trovarsi nella stessa Regione AWS.
1. Per assegnare gli utenti del Centro identità IAM al tuo dominio Studio Classic, scegli **Assegna utenti e gruppi** nel pannello di controllo di Studio Classic. Nella schermata **Assegna utenti e gruppi**, seleziona l’utente data scientist, quindi scegli **Assegna** utenti e gruppi.
1. Dopo aver aggiunto l’utente al pannello di controllo Studio Classic, scegli l’utente per aprire la schermata Dettagli utente.
1. Nella schermata **Dettagli utente**, scegli **Modifica**.
1. Nella schermata **Modifica profilo utente**, in **Impostazioni generali**, modifica il **ruolo di esecuzione di default** in modo che corrisponda al ruolo di esecuzione utente che hai creato per i tuoi data scientist.
1. Scegli **Successivo** nelle altre pagine delle impostazioni e scegli **Invia** per salvare le modifiche.
Quando il tuo Data Scientist o un altro utente accede al portale del Centro identità IAM, vede un riquadro relativo a questo dominio Studio Classic. Scegliendo il riquadro, gli utenti accedono a Studio Classic con il ruolo di esecuzione utente assegnato.
# Gestore dei ruoli FAQs
Consulta le seguenti domande frequenti per le risposte alle domande più frequenti su Amazon SageMaker Role Manager.
## D: Come posso accedere ad Amazon SageMaker Role Manager?
R: Puoi accedere ad Amazon SageMaker Role Manager da più posizioni nella console Amazon SageMaker AI. Per informazioni sull'accesso al gestore dei ruoli e sul suo utilizzo per creare un ruolo, consulta [Utilizzo del gestore dei ruoli (console)](role-manager-tutorial.md).
## D: Cosa sono gli utenti?
R: Gli utenti sono gruppi di autorizzazioni preconfigurati basati su responsabilità comuni di machine learning (ML). Ad esempio, il responsabile della scienza dei dati suggerisce le autorizzazioni per lo sviluppo e la sperimentazione generale dell'apprendimento automatico in un ambiente di SageMaker intelligenza artificiale, mentre suggerisce le MLOps autorizzazioni per le attività di machine learning relative alle operazioni.
## D: Cosa sono le attività ML?
R: Le attività di machine learning sono AWS attività comuni legate all'apprendimento automatico con SageMaker intelligenza artificiale che richiedono autorizzazioni IAM specifiche. Ogni persona suggerisce attività di machine learning correlate durante la creazione di un ruolo con Amazon SageMaker Role Manager. Le attività ML includono attività come l'accesso completo ad Amazon S3 o la ricerca e la visualizzazione di esperimenti. Per ulteriori informazioni, consulta [Riferimento all'attività ML](role-manager-ml-activities.md).
## D: I ruoli che creo sono associati ai ruoli di role manager AWS Identity and Access Management (IAM)?
R: Sì. I ruoli creati utilizzando Amazon SageMaker Role Manager sono ruoli IAM con policy di accesso personalizzate. Puoi visualizzare i ruoli creati nella sezione **Ruoli** della [console IAM](https://console.aws.amazon.com/iamv2/).
## D: Come posso visualizzare i ruoli che ho creato utilizzando Amazon SageMaker Role Manager?
[R: Puoi visualizzare i ruoli creati nella sezione **Ruoli** della console IAM.](https://console.aws.amazon.com/iamv2/) Per impostazione predefinita, il prefisso `"sagemaker-"` viene aggiunto a ogni nome ruolo per facilitare la ricerca nella console IAM. Ad esempio, se nomini `test-123` il ruolo durante la creazione del ruolo, il ruolo viene visualizzato come `sagemaker-test-123` nella console IAM.
## D: Posso modificare un ruolo creato con Amazon SageMaker Role Manager una volta creato?
R: Sì. Puoi modificare i ruoli e le policy creati da Amazon SageMaker Role Manager tramite la [console IAM](https://console.aws.amazon.com/iamv2/). Per ulteriori informazioni, consulta [Modifica di un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) nella *AWS Identity and Access Management Guida per l'utente di IAM*.
## D: Posso collegare le mie policy ai ruoli creati utilizzando Amazon SageMaker Role Manager?
R: Sì. Puoi collegare qualsiasi policy IAM AWS o gestita dal cliente dal tuo account al ruolo che crei utilizzando Amazon SageMaker Role Manager.
## D: Quante politiche posso aggiungere a un ruolo che creo con Amazon SageMaker Role Manager?
R: Il limite massimo per collegare policy gestite a un ruolo o utente IAM è 20. Il limite massimo di caratteri per le policy gestite è di 6.144. Per ulteriori informazioni, consulta [Quote degli oggetti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities) e [Requisiti per i nomi e i limiti dei caratteri IAM e delle quote AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html).
## D: Posso aggiungere condizioni alle attività ML?
R: Tutte le condizioni fornite in Amazon SageMaker Role Manager, come sottoreti, gruppi [Fase 1: inserimento delle informazioni sul ruolo](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) di sicurezza o chiavi KMS, vengono passate automaticamente a tutte le attività ML selezionate in. [Fase 2: configurazione delle attività ML](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities) Se necessario, è inoltre possibile aggiungere ulteriori condizioni alle attività ML. Ad esempio, puoi anche aggiungere condizioni `InstanceTypes` o `IntercontainerTrafficEncryption` all'attività Gestisci processi di addestramento.
## D: Posso utilizzare i tag per gestire l'accesso a qualsiasi risorsa? AWS
R: **** Puoi aggiungere tag al tuo ruolo in [Fase 3: aggiunta di policy e tag aggiuntivi](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags) Amazon SageMaker Role Manager. Per gestire correttamente AWS le risorse utilizzando i tag, devi aggiungere lo stesso tag sia al ruolo che a tutte le politiche associate. Ad esempio, puoi aggiungere un tag a un ruolo e a un bucket Amazon S3. Quindi, poiché il ruolo passa il tag alla sessione SageMaker AI, solo un utente con quel ruolo può accedere a quel bucket S3. Puoi aggiungere i tag a una policy tramite la [console IAM](https://console.aws.amazon.com/iamv2/). Per ulteriori informazioni, consulta [Tag dei ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html) nella *AWS Identity and Access Management Guida per l'utente IAM*.
## D: Posso usare Amazon SageMaker Role Manager per creare un ruolo per accedere a? Console di gestione AWS
R: No. Tuttavia, dopo aver creato un ruolo di servizio nel gestore dei ruoli, puoi andare alla console IAM per modificare il ruolo e aggiungere un ruolo di accesso umano nella console IAM.
## D: Qual è la differenza tra un ruolo di federazione di utenti e un ruolo di esecuzione SageMaker AI?
R: Un ruolo di federazione utenti viene assunto direttamente da un utente per accedere a risorse AWS come l'accesso a Console di gestione AWS. Il servizio di SageMaker intelligenza artificiale assume un ruolo di esecuzione dell' SageMaker IA per eseguire una funzione per conto di un utente o di uno strumento di automazione. Ad esempio, quando un utente apre un’istanza di Studio Classic, Studio Classic assume il ruolo di esecuzione associato al profilo utente per accedere alle risorse AWS per conto suo. Se il profilo utente non specifica un ruolo di esecuzione, il ruolo di esecuzione viene specificato a livello di dominio Amazon SageMaker AI.
## D. Se utilizzo un’applicazione web personalizzata che accede a Studio Classic tramite un URL prefirmato, quale ruolo viene utilizzato?
R: Se utilizzi un'applicazione Web personalizzata per accedere a Studio Classic, hai un ruolo di federazione utenti ibrido e un ruolo di esecuzione SageMaker AI. Assicurati che questo ruolo disponga dei privilegi minimi sia per le operazioni dell’utente sia per le operazioni che Studio Classic svolge per conto dell’utente associato.
## D: Posso usare Amazon SageMaker Role Manager con l'autenticazione AWS IAM Identity Center per il mio dominio Studio Classic?
R: Le applicazioni cloud di AWS IAM Identity Center Studio Classic utilizzano un ruolo di esecuzione di Studio Classic per concedere autorizzazioni agli utenti federati. Questo ruolo di esecuzione può essere specificato a livello del profilo utente del Centro identità IAM di Studio Classic o a livello del dominio predefinito. Le identità e i gruppi degli utenti devono essere sincronizzati in IAM Identity Center e il profilo utente Studio Classic deve essere creato con l'assegnazione degli utenti di IAM Identity Center utilizzando. [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) Per ulteriori informazioni, consulta [Avvio di Studio Classic con il Centro identità IAM](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center).
# Controllo degli accessi per i notebook
È necessario utilizzare procedure diverse per controllare l'accesso ai SageMaker notebook e alle istanze di notebook Amazon SageMaker Studio Classic perché hanno ambienti di runtime diversi. Studio Classic utilizza le autorizzazioni di file system e i container per il controllo degli accessi nei notebook Studio Classic e per l’isolamento degli utenti. Un'istanza SageMaker notebook offre agli utenti che accedono all'istanza notebook l'accesso root predefinito. Negli argomenti seguenti viene descritto come modificare le autorizzazioni per entrambi i tipi di notebook.
**Topics**
+ [Controllo degli accessi e impostazione delle autorizzazioni per i notebook SageMaker Studio](security-access-control-studio-nb.md)
+ [Controlla l'accesso root a un'istanza di notebook SageMaker](nbi-root-access.md)
# Controllo degli accessi e impostazione delle autorizzazioni per i notebook SageMaker Studio
Amazon SageMaker Studio utilizza le autorizzazioni di file system e container per il controllo degli accessi e l'isolamento degli utenti e dei notebook di Studio. Questa è una delle principali differenze tra i notebook Studio e le istanze notebook. SageMaker Questo argomento descrive come vengono configurate le autorizzazioni per evitare minacce alla sicurezza, cosa fa l' SageMaker IA per impostazione predefinita e come il cliente può personalizzare le autorizzazioni. Per ulteriori informazioni sui notebook Studio e sul relativo ambiente di esecuzione, consulta [Usa i notebook Amazon SageMaker Studio Classic](notebooks.md).
**SageMaker Autorizzazioni per le app AI**
Un *utente run-as* è un POSIX user/group che viene utilizzato per eseguire l' JupyterServer app e KernelGateway le app all'interno del contenitore.
L'utente run-as per l' JupyterServer app è sagemaker-user (1000) per impostazione predefinita. Questo utente dispone delle autorizzazioni sudo per abilitare l'installazione di dipendenze come i pacchetti yum.
L'utente run-as per le KernelGateway app è root (0) per impostazione predefinita. Questo utente è in grado di installare le dipendenze utilizzando. pip/apt-get/conda
A causa della rimappatura degli utenti, nessuno degli utenti è in grado di accedere alle risorse o apportare modifiche all'istanza host.
**Rimappatura degli utenti**
SageMaker L'IA esegue la rimappatura degli utenti per mappare un utente all'interno del contenitore a un utente sull'istanza host all'esterno del contenitore. L'intervallo di utenti IDs (0 - 65535) nel contenitore viene mappato a un utente IDs non privilegiato superiore a 65535 sull'istanza. Ad esempio, sagemaker-user (1000) all'interno del container potrebbe essere mappato all'utente (200001) sull'istanza, dove il numero tra parentesi è l'ID utente. Se il cliente ne crea uno nuovo user/group all'interno del contenitore, non avrà i privilegi sull'istanza host indipendentemente dall'ID. user/group L'utente root del container viene inoltre mappato su un utente non privilegiato sull'istanza. Per ulteriori informazioni, consulta [Isolare i container con uno spazio dei nomi utente](https://docs.docker.com/engine/security/userns-remap/).
**Nota**
I file creati dall'utente sagemaker-user possono sembrare di proprietà di sagemaker-studio (uid 65534). Questo è un effetto collaterale di una modalità di creazione rapida delle app in cui le immagini dei contenitori SageMaker AI sono preimpostate, permettendo alle applicazioni di avviarsi in meno di un minuto. Se l'applicazione richiede che l'UID del proprietario del file e l'UID del proprietario del processo corrispondano, chiedi al servizio clienti di rimuovere il tuo numero di account dalla funzione di preestrazione delle immagini.
**Autorizzazioni personalizzate per le immagini**
I clienti possono portare le proprie immagini personalizzate SageMaker . Queste immagini possono specificare un run-as diverso user/group per avviare l' KernelGateway app. Il cliente può implementare un controllo Fine Grained delle autorizzazioni all'interno dell'immagine, ad esempio per disabilitare l'accesso principale o eseguire altre operazioni. La stessa mappatura degli utenti si applica qui. Per ulteriori informazioni, consulta [Immagini personalizzate in Amazon SageMaker Studio Classic](studio-byoi.md).
**Isolamento del container**
Docker mantiene un elenco di funzionalità predefinite che il contenitore può utilizzare. SageMaker L'intelligenza artificiale non aggiunge funzionalità aggiuntive. SageMaker L'intelligenza artificiale aggiunge regole di routing specifiche per bloccare le richieste ad Amazon EFS e all'[Instance Metadata Service](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service) (IMDS) dal container. I clienti non possono modificare queste regole di percorso dal container. Per ulteriori informazioni, consulta [Privilegi di runtime e funzionalità Linux](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities).
**Accesso ai metadati delle app**
I metadati utilizzati dalle app in esecuzione vengono montati nel container con autorizzazione di sola lettura. I clienti non sono in grado di modificare questi metadati dal container. Per i metadati disponibili, consulta [Ottieni i metadati delle app e dei notebook Amazon SageMaker Studio Classic](notebooks-run-and-manage-metadata.md).
**Isolamento degli utenti su EFS**
Quando effettui l'onboarding in Studio, l' SageMaker intelligenza artificiale crea un volume Amazon Elastic File System (EFS) per il tuo dominio che viene condiviso da tutti gli utenti di Studio del dominio. Ogni utente ottiene la propria home directory privata sul volume EFS. Questa home directory viene utilizzata per archiviare i notebook dell'utente, i repository Git e altri dati. Per impedire ad altri utenti del dominio di accedere ai dati dell'utente, SageMaker AI crea un ID utente unico a livello globale per il profilo dell'utente e lo applica come user/group ID POSIX per la home directory dell'utente.
**Accesso EBS**
Un volume Amazon Elastic Block Store (Amazon EBS) viene collegato all'istanza host e condiviso tra tutte le immagini. Viene utilizzato per il volume root dei notebook e archivia i dati temporanei generati all'interno del container. Lo storage non viene mantenuto quando l'istanza che esegue i notebook viene eliminata. L'utente root all'interno del container non può accedere al volume EBS.
**Accesso IMDS**
Per motivi di sicurezza, l'accesso ad Amazon Elastic Compute Cloud (Amazon EC2) Instance Metadata Service (IMDS) non è disponibile in Studio. SageMaker Per ulteriori informazioni su IMDS, consulta [Metadati dell'istanza e dati utente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).
# Controlla l'accesso root a un'istanza di notebook SageMaker
Per impostazione predefinita, quando crei un'istanza del notebook, gli utenti che accedono a tale istanza del notebook dispongono di accesso root. La scienza dei dati è un processo iterativo che potrebbe richiedere ai data scientist di testare e utilizzare diversi strumenti e pacchetti software. Pertanto, molti utenti dell'istanza del notebook devono disporre di accesso root per essere in grado di installare questi strumenti e pacchetti. Poiché gli utenti con accesso root dispongono di privilegi di amministratore, gli utenti possono accedere e modificare tutti i file su un'istanza del notebook con accesso root abilitato.
Se gli utenti non devono disporre di accesso root a un'istanza del notebook, quando chiami operazioni [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) o [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html), imposta il campo `RootAccess` su `Disabled`. Puoi anche disabilitare l'accesso root per gli utenti quando crei o aggiorni un'istanza di notebook nella console Amazon SageMaker AI. Per informazioni, consulta [Crea un'istanza Amazon SageMaker Notebook per il tutorial](gs-setup-working-env.md).
**Nota**
Le configurazioni del ciclo di vita richiedono l'accesso root per essere in grado di configurare un'istanza del notebook. Per questo motivo, le configurazioni del ciclo di vita associate a un'istanza del notebook vengono sempre eseguite come accesso root anche se si disattiva l'accesso root per utenti.
**Nota**
Per motivi di sicurezza, Rootless Docker viene installato su istanze del notebook con disabilitazione root anziché su Docker normale. Per ulteriori informazioni, consulta [Esegui Daemon Docker come utente non root](https://docs.docker.com/engine/security/rootless/) (modalità Rootless)
## Considerazioni relative alla sicurezza
Gli script di configurazione del ciclo di vita vengono eseguiti con accesso root ed ereditano tutti i privilegi del ruolo di esecuzione IAM dell'istanza notebook. Chiunque (compresi gli amministratori) disponga delle autorizzazioni per creare o modificare le configurazioni del ciclo di vita e gestire le istanze dei notebook può eseguire codice con le credenziali del ruolo di esecuzione, pertanto segui le migliori pratiche riportate di seguito.
Procedure consigliate:
+ Limita l'accesso amministrativo: concedi le autorizzazioni di configurazione del ciclo di vita solo ad amministratori affidabili che comprendono le implicazioni sulla sicurezza.
+ Applica i principi del privilegio minimo: definisci i ruoli di esecuzione delle istanze di notebook con solo le autorizzazioni minime richieste per i carichi di lavoro legittimi.
+ Abilita il monitoraggio: esamina regolarmente CloudWatch i log per verificare le esecuzioni della configurazione del ciclo di vita nel gruppo di log per rilevare attività impreviste. `/aws/sagemaker/NotebookInstances`
+ Implementa i controlli delle modifiche: stabilisci processi di approvazione per le modifiche alla configurazione del ciclo di vita negli ambienti di produzione.
# Autorizzazioni API Amazon SageMaker AI: riferimento ad azioni, autorizzazioni e risorse
Quando configuri il controllo dell'accesso e scrivi policy di autorizzazione che puoi collegare a un'identità IAM (una policy basata su identità), utilizza la seguente tabella come riferimento. La tabella elenca ogni operazione dell'API Amazon SageMaker AI, le azioni corrispondenti per le quali puoi concedere le autorizzazioni per eseguire l'azione e la AWS risorsa per la quale puoi concedere le autorizzazioni. Puoi specificare le azioni nel campo `Action` della policy e il valore della risorsa nel campo `Resource`.
**Nota**
Salvo per le API `ListTags`, le limitazioni a livello di risorsa non sono disponibili per le chiamate `List-`. Qualsiasi utente chiamando un'API `List-` vedrà tutte le risorse di quel tipo nell'account.
Per esprimere le condizioni nelle tue politiche di Amazon SageMaker AI, puoi utilizzare chiavi di condizione AWS-wide. Per un elenco completo delle chiavi AWS-wide, consulta [Available Keys](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html#AvailableKeys) nel *Service Authorization* Reference.
**avvertimento**
Alcune azioni SageMaker API potrebbero essere ancora accessibili tramite. `[Search API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html)` Ad esempio, se un utente dispone di una policy IAM che nega le autorizzazioni a una `Describe` chiamata per una particolare risorsa SageMaker AI, quell'utente può comunque accedere alle informazioni descrittive tramite l'API di ricerca. Per limitare completamente l'accesso utente alle chiamate `Describe`, devi limitare anche l'accesso all'API di Search. Per un elenco di risorse SageMaker AI accessibili tramite l'API di ricerca, consulta l'[SageMaker AI Search AWS CLI Command](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/search.html#options) Reference.
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
Operazioni dell'API Amazon SageMaker AI e autorizzazioni richieste per le azioni
****
| Operazioni delle API Amazon SageMaker AI | Autorizzazioni necessarie (azioni API) | Resources |
| --- | --- | --- |
| `[ DeleteEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:DeleteEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ DeleteVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteVectorEnrichmentJob.html)` | `sagemaker-geospatial:DeleteVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ExportEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportEarthObservationJob.html)` | `sagemaker-geospatial:ExportEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ ExportVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportVectorEnrichmentJob.html)` | `sagemaker-geospatial:ExportVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ GetEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetEarthObservationJob.html)` | `sagemaker-geospatial:GetEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:GetRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ GetTile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetTile.html)` | `sagemaker-geospatial:GetTile` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetVectorEnrichmentJob.html)` | `sagemaker-geospatial:GetVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListEarthObservationJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListEarthObservationJobs.html)` | `sagemaker-geospatial:ListEarthObservationJobs` | `*` |
| `[ ListRasterDataCollections](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListRasterDataCollections.html)` | `sagemaker-geospatial:ListRasterDataCollections` | `*` |
| `[ ListTagsForResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListTagsForResource.html)` | `sagemaker-geospatial:ListTagsForResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListVectorEnrichmentJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListVectorEnrichmentJobs.html)` | `sagemaker-geospatial:ListVectorEnrichmentJobs` | `*` |
| `[ SearchRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_SearchRasterDataCollection.html)` | `sagemaker-geospatial:SearchRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ StartEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartEarthObservationJob.html)` | `sagemaker-geospatial:StartEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StartVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartVectorEnrichmentJob.html)` | `sagemaker-geospatial:StartVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ StopEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopEarthObservationJob.html)` | `sagemaker-geospatial:StopEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StopVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopVectorEnrichmentJob.html)` | `sagemaker-geospatial:StopVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ TagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_TagResource.html)` | `sagemaker-geospatial:TagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ UntagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_UntagResource.html)` | `sagemaker-geospatial:UntagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)` | `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:*` |
| `[ CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)` | `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| `[ CreateAppImageConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAppImageConfig.html)` | `sagemaker:CreateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| `[ CreateAutoMLJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html)` | `sagemaker:CreateAutoMLJob` `iam:PassRole` La seguente autorizzazione è richiesta solo se una qualsiasi classe `ResourceConfig` associata dispone di un parametro `VolumeKmsKeyId ` specificato e il ruolo associato non dispone di una policy che consente questa azione: `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html) | `sagemaker:CreateAutoMLJobV2` `iam:PassRole` La seguente autorizzazione è richiesta solo se una qualsiasi classe `ResourceConfig` associata dispone di un parametro `VolumeKmsKeyId ` specificato e il ruolo associato non dispone di una policy che consente questa azione: `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| `[ CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)` | `sagemaker:CreateDomain` `iam:CreateServiceLinkedRole` `iam:PassRole` Richiesta se viene specificata una chiave gestita dal cliente KMS per: `KmsKeyId` `elasticfilesystem:CreateFileSystem` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKeyWithoutPlainText` Necessario per creare un dominio che supporti RStudio: `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:domain/domain-id` |
| `[ CreateEndpoint](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpoint.html)` | `sagemaker:CreateEndpoint` `kms:CreateGrant` (necessario solo se `EndPointConfig` associato ha un `KmsKeyId` specificato) | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html) | `sagemaker:CreateEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html) | `sagemaker:CreateFlowDefinition` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html) | `sagemaker:CreateHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html) | `sagemaker:CreateInferenceRecommendationsJob` `iam:PassRole` Le seguenti autorizzazioni sono obbligatorie solo se si specifica una chiave di crittografia: `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` | `arn:aws:sagemaker:region:account-id:inference-recommendations-job/inferenceRecommendationsJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) | `sagemaker:CreateHyperParameterTuningJob` `iam:PassRole` La seguente autorizzazione è richiesta solo se una qualsiasi classe `ResourceConfig` associata dispone di un parametro `VolumeKmsKeyId ` specificato e il ruolo associato non dispone di una policy che consente questa azione: `kms:CreateGrant` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html) | `sagemaker:CreateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html) | `sagemaker:CreateImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html) | saggista: CreateLabelingJob obiettivo: PassRole | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) | `sagemaker:CreateModel` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html) | `sagemaker:CreateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html) | `sagemaker:CreateModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) | `sagemaker:CreateNotebookInstance` `iam:PassRole` Le seguenti autorizzazioni sono obbligatorie solo se si specifica un VPC per l'istanza del notebook: `ec2:CreateNetworkInterface` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Le seguenti autorizzazioni sono obbligatorie solo se si specifica una chiave di crittografia: `kms:DescribeKey` `kms:CreateGrant` Le seguenti autorizzazioni sono obbligatorie solo se si specifica un Secrets Manager di AWS per accedere a un repository Git privato: `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html) | `sagemaker:CreatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html) | `sagemaker:CreatePresignedDomainUrl` | `arn:aws:sagemaker:region:account-id:app/domain-id/userProfileName`/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) | `sagemaker:CreatePresignedNotebookInstanceUrl` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) | `sagemaker:CreateProcessingJob` `iam:PassRole` `kms:CreateGrant` (obbligatorio solo se il `ProcessingResources` associato dispone di un `VolumeKmsKeyId` specificato e il ruolo associato non dispone di una policy che consente questa azione) `ec2:CreateNetworkInterface` (obbligatorio solo se specifichi un VPC) | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| `[ CreateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateSpace.html)` | `sagemaker:CreateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html) | `sagemaker:CreateStudioLifecycleConfig` | `arn:aws:sagemaker:region:account-id:studio-lifecycle-config/.*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) | `sagemaker:CreateTrainingJob` `iam:PassRole` `kms:CreateGrant` (obbligatorio solo se il `ResourceConfig` associato dispone di un `VolumeKmsKeyId` specificato e il ruolo associato non dispone di una policy che consente questa azione) | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html) | `sagemaker:CreateTrainingPlan` `sagemaker:CreateReservedCapacity` `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:training-plan/*"` `arn:aws:sagemaker:region:account-id:reserved-capacity/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html) | `sagemaker:CreateTransformJob` `kms:CreateGrant` (obbligatorio solo se il `TransformResources` associato dispone di un `VolumeKmsKeyId` specificato e il ruolo associato non dispone di una policy che consente questa azione) | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) | `sagemaker:CreateUserProfile` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) | `sagemaker:CreateWorkforce` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | arn:aws:sagemaker:region:account-id:workforce/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html) | `sagemaker:CreateWorkteam` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/work team name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html) | `sagemaker:DeleteApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html) | `sagemaker:DeleteAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html) | `sagemaker:DeleteDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html) | `sagemaker:DeleteEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html) | `sagemaker:DeleteEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html) | `sagemaker:DeleteFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DeleteHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DeleteHumanLoop.html)` | `sagemaker:DeleteHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html) | `sagemaker:DeleteImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html) | `sagemaker:DeleteImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html) | `sagemaker:DeleteModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html) | `sagemaker:DeleteModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html) | `sagemaker:DeleteModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html) | `sagemaker:DeleteModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html) | `sagemaker:DeleteNotebookInstance` La seguente autorizzazione è obbligatoria solo se è stato specificato un VPC per l'istanza del notebook: `ec2:DeleteNetworkInterface` Le seguenti autorizzazioni sono obbligatorie solo se è stata specificata una chiave di crittografia al momento della creazione dell'istanza del notebook: `kms:DescribeKey` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html) | `sagemaker:DeletePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[DeleteSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteSpace.html)` | `sagemaker:DeleteSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html) | `sagemaker:DeleteTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html) | `sagemaker:DeleteUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) | `sagemaker:DeleteWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html) | `sagemaker:DeleteWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html) | `sagemaker:DescribeApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html) | `sagemaker:DescribeAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html) | `sagemaker:DescribeAutoMLJob` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html) | `sagemaker:DescribeAutoMLJobV2` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html) | `sagemaker:DescribeDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html) | `sagemaker:DescribeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html) | `sagemaker:DescribeEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html) | `sagemaker:DescribeFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DescribeHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DescribeHumanLoop.html)` | `sagemaker:DescribeHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html) | `sagemaker:DescribeHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html) | `sagemaker:DescribeHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html) | `sagemaker:DescribeImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html) | `sagemaker:DescribeImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html) | `sagemaker:DescribeLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html) | `sagemaker:DescribeModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html) | `sagemaker:DescribeModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html) | `sagemaker:DescribeModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) | `sagemaker:DescribeNotebookInstance ` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html) | `sagemaker:DescribePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html) | `sagemaker:DescribePipelineDefinitionForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html) | `sagemaker:DescribePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html) | `sagemaker:DescribeProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingjobname` |
| `[DescribeSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSpace.html)` | `sagemaker:DescribeSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html) | `sagemaker:DescribeSubscribedWorkteam` `aws-marketplace:ViewSubscriptions` | `arn:aws:sagemaker:region:account-id:workteam/vendor-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html) | `sagemaker:DescribeTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html) | `sagemaker:DescribeTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html) | `sagemaker:DescribeUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) | `sagemaker:DescribeWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html) | `sagemaker:DescribeWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html) | `sagemaker:GetModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html) | `sagemaker:InvokeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html) | `sagemaker:ListAppImageConfigs` | `arn:aws:sagemaker:region:account-id:app-image-config/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html) | `sagemaker:ListApps` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html) | `sagemaker:ListDomains` | `arn:aws:sagemaker:region:account-id:domain/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html) | `sagemaker:ListEndpointConfigs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html) | `sagemaker:ListEndpoints` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html) | `sagemaker:ListFlowDefinitions` | `*` |
| `[ListHumanLoops](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_ListHumanLoops.html)` | `sagemaker:ListHumanLoops` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html) | `sagemaker:ListHumanTaskUis` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html) | `sagemaker:ListHyperParameterTuningJobs` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html) | `sagemaker:ListImages` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html) | `sagemaker:ListImageVersions` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html) | `sagemaker:ListLabelingJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html) | `sagemaker:ListLabelingJobForWorkteam` | `*` |
| `[ ListModelPackageGroups](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackageGroups.html)` | `sagemaker:ListModelPackageGroups` | `arn:aws:sagemaker:region:account-id :model-package-group/ModelPackageGroupName` |
| `[ ListModelPackages](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackages.html)` | `sagemaker:ListModelPackages` | `arn:aws:sagemaker:region:account-id :model-package/ModelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html) | `sagemaker:ListModels` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html) | `sagemaker:ListNotebookInstances` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html) | `sagemaker:ListPipelineExecutions` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html) | `sagemaker:ListPipelineExecutionSteps` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html) | `sagemaker:ListPipelineParametersForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html) | `sagemaker:ListPipelines` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html) | `sagemaker:ListProcessingJobs` | `*` |
| `[ListSpaces](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSpaces.html)` | `sagemaker:ListSpaces` | `arn:aws:sagemaker:region:account-id:space/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html) | `sagemaker:ListSubscribedWorkteams` `aws-marketplace:ViewSubscriptions` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html) | `sagemaker:ListTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html) | `sagemaker:ListTrainingJobs` | `*` |
| `[ ListTrainingJobsForHyperParameterTuningJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobsForHyperParameterTuningJob.html)` | `sagemaker:ListTrainingJobsForHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html) | `sagemaker:ListTransformJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html) | `sagemaker:ListUserProfiles` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html) | `sagemaker:ListWorkforces` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html) | `sagemaker:ListWorkteams` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html) | `sagemaker:PutModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html) | `sagemaker:RetryPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) | `sagemaker:Search` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html) | `sagemaker:SendPipelineExecutionStepFailure` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html) | `sagemaker:SendPipelineExecutionStepSuccess` | `*` |
| `[StartHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StartHumanLoop.html)` | `sagemaker:StartHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html) | `sagemaker:StartNotebookInstance` Le seguenti autorizzazioni sono obbligatorie solo se è stato specificato un VPC al momento della creazione dell'istanza del notebook: `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` Le seguenti autorizzazioni sono obbligatorie solo se è stata specificata una chiave di crittografia al momento della creazione dell'istanza del notebook: `kms:DescribeKey` `kms:CreateGrant` La seguente autorizzazione è obbligatoria solo se si specifica un Secrets Manager di AWS per accedere a un repository Git privato al momento della creazione dell'istanza del notebook: `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html) | `sagemaker:StartPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[StopHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StopHumanLoop.html)` | `sagemaker:StopHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html) | `sagemaker:StopHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html) | `sagemaker:StopLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html) | `sagemaker:StopNotebookInstance` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html) | `sagemaker:StopPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html) | `sagemaker:StopProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html) | `sagemaker:StopTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html) | `sagemaker:StopTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html) | `sagemaker:UpdateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) | `sagemaker:UpdateDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html) | `sagemaker:UpdateEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html) | `sagemaker:UpdateEndpointWeightsAndCapacities` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) | `sagemaker:UpdateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html) | `sagemaker:UpdateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html) | `sagemaker:UpdateNotebookInstance` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html) | `sagemaker:UpdatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html) | `sagemaker:UpdatePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| `[UpdateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateSpace.html)` | `sagemaker:UpdateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html) | `sagemaker:UpdateUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) | `sagemaker:UpdateWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) | `sagemaker:UpdateWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
# AWS politiche gestite per Amazon SageMaker AI
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle autonomamente. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy `ReadOnlyAccess` AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
**Importante**
Ti consigliamo di utilizzare la policy più limitata che consente di eseguire il tuo caso d'uso.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Garantisce l'accesso completo alle risorse geospaziali di Amazon SageMaker SageMaker AI e AI e alle operazioni supportate. Non fornisce l'accesso Amazon S3 illimitato, ma supporta i bucket e gli oggetti con tag `sagemaker` specifici. Questa policy consente di passare tutti i ruoli IAM ad Amazon SageMaker AI, ma consente solo di trasferire i ruoli IAM contenenti AmazonSageMaker "" ai AWS RoboMaker servizi AWS Glue AWS Step Functions, and.
+ **`AmazonSageMakerReadOnly`**— Garantisce l'accesso in sola lettura alle risorse AI di Amazon SageMaker .
Le seguenti politiche AWS gestite possono essere associate agli utenti del tuo account, ma non sono consigliate:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator): concede tutte le operazioni per tutti i servizi AWS e per tutte le risorse nell'account.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist): concede un'ampia gamma di autorizzazioni per coprire la maggior parte dei casi d'uso (principalmente per le attività di analisi e business intelligence) incontrati dai data scientist
Puoi esaminare queste policy di autorizzazione, accedendo alla console IAM e cercandole.
Puoi anche creare policy IAM personalizzate per consentire le autorizzazioni per le azioni e le risorse di Amazon SageMaker AI quando ne hai bisogno. Puoi collegare queste policy personalizzate agli utenti o ai gruppi che ne hanno bisogno.
**Topics**
+ [AWS politica gestita: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS politica gestita: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS politiche gestite per Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS politiche gestite per Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS politiche gestite per Amazon SageMaker geospatial](security-iam-awsmanpol-geospatial.md)
+ [AWS Politiche gestite per Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS politiche gestite per Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Politiche gestite per la governance dei modelli di SageMaker intelligenza artificiale](security-iam-awsmanpol-governance.md)
+ [AWS Politiche gestite per Model Registry](security-iam-awsmanpol-model-registry.md)
+ [AWS Policy gestite per SageMaker notebook](security-iam-awsmanpol-notebooks.md)
+ [AWS politiche gestite per Amazon SageMaker Partner AI Apps](security-iam-awsmanpol-partner-apps.md)
+ [AWS Politiche gestite per le SageMaker condutture](security-iam-awsmanpol-pipelines.md)
+ [AWS politiche gestite per i piani SageMaker di formazione](security-iam-awsmanpol-training-plan.md)
+ [AWS Politiche gestite per SageMaker progetti e JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker Aggiornamenti AI alle politiche AWS gestite](#security-iam-awsmanpol-updates)
## AWS politica gestita: AmazonSageMakerFullAccess
Questa policy concede autorizzazioni amministrative che consentono l'accesso completo e principale a tutte le risorse e le operazioni geospaziali di Amazon SageMaker SageMaker AI e AI. La policy fornisce anche un accesso selezionato ai servizi correlati. Questa policy consente di passare tutti i ruoli IAM ad Amazon SageMaker AI, ma consente solo di trasferire i ruoli IAM contenenti AmazonSageMaker "" ai AWS RoboMaker servizi AWS Glue AWS Step Functions, and. Questa politica non include le autorizzazioni per creare un dominio Amazon SageMaker AI. Per informazioni sulla policy necessaria per creare un dominio, consulta [Prerequisiti completi per Amazon SageMaker AI](gs-set-up.md).
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `application-autoscaling`— Consente ai responsabili di scalare automaticamente un endpoint di SageMaker inferenza AI in tempo reale.
+ `athena`— Consente ai responsabili di interrogare un elenco di cataloghi di dati, database e metadati di tabelle da. Amazon Athena
+ `aws-marketplace`— Consente ai mandanti di visualizzare gli abbonamenti ad AWS AI Marketplace. Ne hai bisogno se desideri accedere al software SageMaker AI sottoscritto. Marketplace AWS
+ `cloudformation`— Consente ai dirigenti di ottenere AWS CloudFormation modelli per l'utilizzo di JumpStart soluzioni e pipeline di SageMaker intelligenza artificiale. SageMaker L'intelligenza artificiale JumpStart crea le risorse necessarie per eseguire soluzioni di end-to-end machine learning che collegano l' SageMaker IA ad altri AWS servizi. SageMaker AI Pipelines crea nuovi progetti supportati da Service Catalog.
+ `cloudwatch`— Consente ai responsabili di pubblicare CloudWatch metriche, interagire con gli allarmi e caricare i log nei registri del tuo account. CloudWatch
+ `codebuild`— Consente ai dirigenti di archiviare artefatti per pipeline e progetti di intelligenza AWS CodeBuild artificiale. SageMaker
+ `codecommit`— Necessario per AWS CodeCommit l'integrazione con SageMaker le istanze di notebook AI.
+ `cognito-idp`— Necessario per Amazon SageMaker Ground Truth per definire la forza lavoro privata e i team di lavoro.
+ `ec2`— Necessario all' SageMaker intelligenza artificiale per gestire le risorse e le interfacce di rete di Amazon EC2 quando si specifica un Amazon VPC per lavori, modelli, endpoint e istanze di notebook di SageMaker intelligenza artificiale.
+ `ecr`— Necessario per estrarre e archiviare artefatti Docker per Amazon SageMaker Studio Classic (immagini personalizzate), formazione, elaborazione, inferenza in batch ed endpoint di inferenza. Ciò è necessario anche per utilizzare il proprio contenitore nell'intelligenza artificiale. SageMaker Sono necessarie autorizzazioni aggiuntive per JumpStart le soluzioni di SageMaker intelligenza artificiale per creare e rimuovere immagini personalizzate per conto degli utenti.
+ `elasticfilesystem`: consente alle entità principali di accedere ad Amazon Elastic File System. Ciò è necessario affinché l' SageMaker IA utilizzi le fonti di dati in Amazon Elastic File System per addestrare modelli di apprendimento automatico.
+ `fsx`— Consente ai mandanti di accedere ad Amazon FSx. Ciò è necessario affinché l' SageMaker IA utilizzi le fonti di dati in Amazon FSx per addestrare modelli di apprendimento automatico.
+ `glue`— Necessario per la preelaborazione della pipeline di inferenza dall'interno delle istanze di notebook SageMaker AI.
+ `groundtruthlabeling`: necessaria per i processi di etichettatura Ground Truth. L'endpoint è `groundtruthlabeling` accessibile dalla console Ground Truth.
+ `iam`— Necessario per consentire alla console SageMaker AI di accedere ai ruoli IAM disponibili e creare ruoli collegati ai servizi.
+ `kms`— Necessario per consentire alla console di SageMaker intelligenza artificiale di accedere alle AWS KMS chiavi disponibili e recuperarle per qualsiasi AWS KMS alias specificato nei job e negli endpoint.
+ `lambda`: consente alle entità principali di richiamare e ottenere un elenco di funzioni AWS Lambda .
+ `logs`— Necessario per consentire SageMaker ai job e agli endpoint AI di pubblicare flussi di log.
+ `redshift`: consente alle entità principali di accedere alle credenziali del cluster Amazon Redshift.
+ `redshift-data`: consente alle entità principali di utilizzare i dati di Amazon Redshift per eseguire, descrivere e annullare le istruzioni, ottenere i risultati delle istruzioni ed elencare schemi e tabelle.
+ `robomaker`— Consente ai responsabili di avere pieno accesso per creare, ottenere descrizioni ed eliminare applicazioni e lavori di AWS RoboMaker simulazione. È necessaria anche per eseguire esempi di apprendimento per rinforzo su istanze del notebook.
+ `s3, s3express`— Consente ai mandanti di avere pieno accesso alle risorse di Amazon S3 e Amazon S3 Express relative SageMaker all'intelligenza artificiale, ma non a tutte le risorse di Amazon S3 o Amazon S3 Express.
+ `sagemaker`— Consente ai responsabili di elencare i tag sui profili utente SageMaker AI e di aggiungere tag alle app e agli spazi AI. SageMaker Consente l'accesso solo alle definizioni di flusso SageMaker AI di sagemaker: WorkteamType «private-crowd» o «vendor-crowd». Consente l'uso e la descrizione dei piani di formazione sull' SageMaker intelligenza artificiale e della capacità riservata nei lavori di SageMaker formazione e nei SageMaker HyperPod cluster, in tutte le AWS regioni in cui la funzionalità dei piani di formazione è accessibile.
+ `sagemaker`e `sagemaker-geospatial` — Consente ai principali l'accesso in sola lettura SageMaker ai domini e ai profili utente AI.
+ `secretsmanager`: consente alle entità principali l'accesso completo a Gestione dei segreti AWS. Le entità principali possono crittografare, archiviare e recuperare le credenziali per i database e altri servizi in modo sicuro. Ciò è necessario anche per le istanze di notebook SageMaker AI con repository di codici SageMaker AI che utilizzano. GitHub
+ `servicecatalog`: consente alle entità principali di utilizzare il Catalogo servizi. I responsabili possono creare, ottenere un elenco, aggiornare o terminare i prodotti forniti, come server, database, siti Web o applicazioni distribuite utilizzando risorse. AWS Ciò è necessario all' SageMaker intelligenza artificiale JumpStart e ai progetti per trovare e leggere i prodotti del catalogo dei servizi e lanciare AWS risorse agli utenti.
+ `sns`: consente alle entità principali di ottenere un elenco di argomenti di Amazon SNS. È necessaria per gli endpoint con inferenza asincrona abilitata per avvisare gli utenti che l'inferenza è stata completata.
+ `states`— Necessario affinché SageMaker AI JumpStart e Pipelines utilizzino un catalogo di servizi per creare risorse Step Function.
+ `tag`— Necessario per il rendering di SageMaker AI Pipelines in Studio Classic. Studio Classic richiede risorse taggate con una particolare chiave tag `sagemaker:project-id`. Richiede l'autorizzazione `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerReadOnly
Questa policy garantisce l'accesso in sola lettura ad Amazon SageMaker AI tramite l' Console di gestione AWS SDK and.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `application-autoscaling`— Consente agli utenti di sfogliare le descrizioni degli endpoint di inferenza scalabili in SageMaker tempo reale basati sull'intelligenza artificiale.
+ `aws-marketplace`— Consente agli utenti di visualizzare gli abbonamenti ad AWS AI Marketplace.
+ `cloudwatch`— Consente agli utenti di ricevere CloudWatch allarmi.
+ `cognito-idp`— Necessario per consentire ad Amazon SageMaker Ground Truth di consultare le descrizioni e gli elenchi della forza lavoro privata e dei team di lavoro.
+ `ecr`: necessaria per recuperare e memorizzare artefatti Docker per l'addestramento e l'inferenza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS politiche gestite per Amazon SageMaker Canvas
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker Canvas. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS politica gestita: AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS politica gestita: AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS politica gestita: accesso AmazonSageMakerCanvas AIServices](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS politica gestita: AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS politica gestita: AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS politica gestita: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS politica gestita: AmazonSageMakerCanvas SMData ScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Aggiornamenti di Amazon SageMaker AI alle politiche gestite di Amazon SageMaker Canvas](#security-iam-awsmanpol-canvas-updates)
## AWS politica gestita: AmazonSageMakerCanvasFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo ad Amazon SageMaker Canvas tramite l'SDK Console di gestione AWS and. La policy fornisce anche l'accesso selezionato ai servizi correlati [ad esempio, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, CloudWatch Amazon Redshift, Amazon Autopilot, Model Registry, e Gestione dei segreti AWS Amazon Forecast SageMaker ]. SageMaker
Questa politica ha lo scopo di aiutare i clienti a sperimentare e iniziare a utilizzare tutte le funzionalità di Canvas. SageMaker Per un controllo più preciso, suggeriamo ai clienti di creare le proprie versioni con ambito ridotto man mano che passano ai carichi di lavoro di produzione. Per ulteriori informazioni, consulta [IAM policy types: How and when to use them](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/).
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker`— Consente ai responsabili di creare e ospitare modelli di SageMaker intelligenza artificiale su risorse il cui ARN contiene «Canvas», «canvas» o «model-compilation-». Inoltre, gli utenti possono registrare il proprio modello SageMaker Canvas su SageMaker AI Model Registry nello stesso account. AWS Consente inoltre ai responsabili di creare e gestire processi di SageMaker formazione, trasformazione e AutoML.
+ `application-autoscaling`— Consente ai responsabili di scalare automaticamente un endpoint di SageMaker inferenza AI.
+ `athena`: consente ai principali di eseguire query su un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena, nonché di accedere alle tabelle nei cataloghi.
+ `cloudwatch`— Consente ai responsabili di creare e gestire CloudWatch allarmi Amazon.
+ `ec2`: consente alle entità principali di creare endpoint VPC Amazon.
+ `ecr`: consente alle entità principali di ottenere informazioni sull'immagine di un container.
+ `emr-serverless`: consente ai principali di creare e gestire le applicazioni Amazon EMR serverless e le esecuzioni dei processi. Consente inoltre ai mandanti di etichettare le risorse Canvas SageMaker .
+ `forecast`: consente alle entità principali di utilizzare Amazon Forecast.
+ `glue`— Consente ai responsabili di recuperare le tabelle, i database e le partizioni nel catalogo. AWS Glue
+ `iam`— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker AI, Amazon Forecast e Amazon EMR Serverless. Inoltre, consente ai principali di creare un ruolo collegato al servizio.
+ `kms`— Consente ai responsabili di leggere una AWS KMS chiave contrassegnata con. `Source:SageMakerCanvas`
+ `logs`: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento.
+ `quicksight`— Consente ai responsabili di elencare i namespace nell'account Quick.
+ `rds`: consente alle entità principali di restituire informazioni sulle istanze Amazon RDS per cui è stato effettuato il provisioning.
+ `redshift`: consente alle entità principali di ottenere le credenziali per un dbuser "sagemaker\$1access\$1" su qualsiasi cluster Amazon Redshift, se tale utente esiste.
+ `redshift-data`: consente alle entità principali di eseguire query su Amazon Redshift utilizzando l'API di dati di Amazon Redshift. Ciò fornisce solo l'accesso ai dati Redshift APIs stessi e non fornisce l'accesso diretto ai cluster Amazon Redshift. Per ulteriori informazioni, consulta [Uso dell'API dati di Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker». Consente inoltre ai principali di recuperare oggetti dai bucket Amazon S3 il cui ARN inizia con jumpstart-cache-prod "-» in regioni specifiche.
+ `secretsmanager`: consente alle entità principali di memorizzare le credenziali dei clienti per connettersi a un database Snowflake utilizzando il Gestore dei segreti.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politica gestita: AmazonSageMakerCanvasDataPrepFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo alla funzionalità di preparazione dei dati di Amazon SageMaker Canvas. La policy fornisce anche le autorizzazioni con privilegi minimi per i servizi che si integrano con la funzionalità di preparazione dei dati [ad esempio, Amazon Simple Storage Service (Amazon S3), AWS Identity and Access Management (IAM), Amazon EMR, Amazon, Amazon Redshift, () e]. EventBridge AWS Key Management Service AWS KMS Gestione dei segreti AWS
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker`: consente ai principali di accedere ai processi di elaborazione, ai job di addestramento, alle pipeline di inferenza, ai processi AutoML e ai gruppi di funzionalità.
+ `athena`: consente ai principali di eseguire query su un elenco di cataloghi di dati, database e metadati di tabelle da Amazon Athena.
+ `elasticmapreduce`: consente ai principali di leggere ed elencare i cluster Amazon EMR.
+ `emr-serverless`: consente ai principali di creare e gestire le applicazioni Amazon EMR serverless e le esecuzioni dei processi. Consente inoltre ai responsabili di etichettare le risorse SageMaker Canvas.
+ `events`— Consente ai responsabili di creare, leggere, aggiornare e aggiungere obiettivi alle EventBridge regole di Amazon per i lavori pianificati.
+ `glue`— Consente ai responsabili di ottenere e cercare tabelle dai database del AWS Glue catalogo.
+ `iam`— Consente ai responsabili di trasferire un ruolo IAM ad Amazon SageMaker AI e Amazon EMR Serverless. EventBridge Inoltre, consente ai principali di creare un ruolo collegato al servizio.
+ `kms`— Consente ai responsabili di recuperare gli AWS KMS alias archiviati nei job e negli endpoint e di accedere alla chiave KMS associata.
+ `logs`: consente alle entità principali di pubblicare gli endpoint e i processi di addestramento.
+ `redshift`: consente ai principali di ottenere le credenziali per accedere al database Amazon Redshift.
+ `redshift-data`: consente ai principali di eseguire, annullare, descrivere, elencare e ottenere i risultati delle query di Amazon Redshift. Consente inoltre ai principali di elencare schemi e tabelle di Amazon Redshift.
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker»; oppure sono etichettati con "«, senza distinzione tra maiuscole e minuscole. SageMaker
+ `secretsmanager`: consente ai principali di archiviare e recuperare le credenziali dei database de clienti utilizzando Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politica gestita: AmazonSageMakerCanvasDirectDeployAccess
Questa politica concede le autorizzazioni necessarie ad Amazon SageMaker Canvas per creare e gestire gli endpoint Amazon SageMaker AI.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker`— Consente ai responsabili di creare e gestire endpoint SageMaker AI con un nome di risorsa ARN che inizia con «Canvas» o «canvas».
+ `cloudwatch`— Consente ai committenti di recuperare i dati CloudWatch metrici di Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: accesso AmazonSageMakerCanvas AIServices
Questa politica concede ad Amazon SageMaker Canvas le autorizzazioni per utilizzare Amazon Textract, Amazon Rekognition, Amazon Comprehend e Amazon Bedrock.
**Dettagli delle autorizzazioni**
Questa politica gestita include le seguenti autorizzazioni. AWS
+ `textract`: consente alle entità principali di utilizzare Amazon Textract per rilevare documenti, spese e identità all'interno di un'immagine.
+ `rekognition`: consente alle entità principali di utilizzare Amazon Rekognition per rilevare etichette e testo all'interno di un'immagine.
+ `comprehend`: consente alle entità principali di utilizzare Amazon Comprehend per rilevare la valutazione, la lingua principale e infine le entità con nome e informazioni di identificazione personale (PII) all'interno di un documento di testo.
+ `bedrock`: consente alle entità principali di utilizzare Amazon Bedrock per elencare e richiamare modelli di fondazione.
+ `iam`: consente ai principali di passare un ruolo IAM ad Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS politica gestita: AmazonSageMakerCanvasBedrockAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Bedrock.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente ai principali di aggiungere e recuperare oggetti dai bucket Amazon S3 nella directory “sagemaker-\$1/Canvas”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerCanvasForecastAccess
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Canvas con Amazon Forecast.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome inizia con "sagemaker-".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Questa politica concede autorizzazioni ad Amazon EMR Serverless per AWS servizi, come Amazon S3, utilizzati da Amazon Canvas per l'elaborazione di dati di grandi dimensioni. SageMaker
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome include "SageMaker" o «sagemaker»; oppure sono contrassegnati con "SageMaker«, senza distinzione tra maiuscole e minuscole.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Questa politica concede le autorizzazioni agli utenti di Amazon SageMaker Canvas per avviare conversazioni con Amazon Q Developer. Questa funzionalità richiede le autorizzazioni sia per Amazon Q Developer che per il servizio SageMaker AI Data Science Assistant.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `q`: consente ai principali di inviare prompt ad Amazon Q Developer.
+ `sagemaker-data-science-assistant`— Consente ai dirigenti di inviare prompt al servizio SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Aggiornamenti di Amazon SageMaker AI alle politiche gestite di Amazon SageMaker Canvas
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per SageMaker Canvas da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - Aggiornamento a una policy esistente | 2 | Aggiunta l'autorizzazione `q:StartConversation`. | 14 gennaio 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess): nuova policy | 1 | Policy iniziale | 4 dicembre 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) - Aggiornamento a una policy esistente | 4 | Risorsa aggiunta all’autorizzazione `IAMPassOperationForEMRServerless`. | 16 agosto 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) - Aggiornamento a una policy esistente | 11 | Risorsa aggiunta all’autorizzazione `IAMPassOperationForEMRServerless`. | 15 agosto 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy): nuova policy | 1 | Policy iniziale | 26 luglio 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente | 3 | Aggiunta delle autorizzazioni `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` e `emr-serverless:TagResource`. | 18 luglio 2024 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 10 | Aggiunta delle autorizzazioni `application-autoscaling:DescribeScalingActivities`, `iam:PassRole`, `kms:DescribeKey` e `quicksight:ListNamespaces`. Aggiunta delle autorizzazioni `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` e `sagemaker:StopTransformJob`. Aggiunte le autorizzazioni `athena:ListTableMetadata`, `athena:ListDataCatalogs` e `athena:ListDatabases`. Aggiunte le autorizzazioni `glue:GetDatabases`, `glue:GetPartitions` e `glue:GetTables`. Aggiunta delle autorizzazioni `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` e `emr-serverless:TagResource`. | 9 luglio 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess): nuova policy | 1 | Policy iniziale | 2 febbraio 2024 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 9 | Aggiunta l'autorizzazione `sagemaker:ListEndpoints`. | 24 gennaio 2024 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 8 | Aggiunta delle autorizzazioni `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` e `iam:CreateServiceLinkedRole`. | 8 dicembre 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Aggiornamento a una policy esistente | 2 | Aggiornamento minore per applicare gli scopi della policy precedente, versione 1. Nessuna autorizzazione aggiunta o eliminata. | 7 dicembre 2023 |
| [AmazonSageMakerCanvasAIServicesAccesso](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) - Aggiornamento a una policy esistente | 3 | Aggiunta delle autorizzazioni `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` e `iam:PassRole`. | 29 novembre 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Nuova politica | 1 | Policy iniziale | 26 ottobre 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess): nuova policy | 1 | Policy iniziale | 6 ottobre 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 7 | Aggiunte le autorizzazioni `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel` e `sagemaker:InvokeEndpoint`. Aggiungi anche `s3:GetObject` l'autorizzazione per JumpStart le risorse in regioni specifiche. | 29 settembre 2023 |
| AmazonSageMakerCanvasAIServicesAccesso: aggiornamento a una politica esistente | 2 | Aggiunte le autorizzazioni `bedrock:InvokeModel` e `bedrock:ListFoundationModels`. | 29 settembre 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 6 | Aggiunta l'autorizzazione `rds:DescribeDBInstances`. | 29 agosto 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 5 | Aggiunte le autorizzazioni `application-autoscaling:PutScalingPolicy` e `application-autoscaling:RegisterScalableTarget`. | 24 luglio 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 4 | Aggiunte le autorizzazioni `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages` e `sagemaker:ListModelPackageGroups`. | 4 maggio 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 3 | Aggiunte le autorizzazioni `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` e `glue:SearchTables`. | 24 marzo 2023 |
| AmazonSageMakerCanvasAIServicesAccesso: nuova politica | 1 | Policy iniziale | 23 marzo 2023 |
| AmazonSageMakerCanvasFullAccess - Aggiornamento a una politica esistente | 2 | Aggiunta l'autorizzazione `forecast:DeleteResourceTree`. | 6 dicembre 2022 |
| AmazonSageMakerCanvasFullAccess - Nuova politica | 1 | Policy iniziale | 8 settembre 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess): nuova policy | 1 | Policy iniziale | 24 agosto 2022 |
# AWS politiche gestite per Amazon SageMaker Feature Store
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Feature Store. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Amazon SageMaker AI aggiorna le politiche gestite da Amazon SageMaker Feature Store](#security-iam-awsmanpol-feature-store-updates)
## AWS politica gestita: AmazonSageMakerFeatureStoreAccess
Questa politica concede le autorizzazioni necessarie per abilitare lo store offline per un gruppo di funzionalità di Amazon SageMaker Feature Store.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente alle entità principali di scrivere dati in un bucket Amazon S3 dell'archivio offline. Questi bucket sono limitati a quelli il cui nome include "SageMaker«, «Sagemaker» o «sagemaker».
+ `s3`: consente alle entità principali di leggere i file manifest esistenti conservati nella cartella `metadata` di un bucket S3 dell'archivio offline.
+ `glue`— Consente ai responsabili di leggere e aggiornare le tabelle AWS Glue. Queste autorizzazioni sono limitate alle tabelle della cartella `sagemaker_featurestore`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite da Amazon SageMaker Feature Store
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Feature Store da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) - Aggiornamento a una policy esistente | 3 | Aggiunte le autorizzazioni `s3:GetObject`, `glue:GetTable` e `glue:UpdateTable`. | 5 dicembre 2022 |
| AmazonSageMakerFeatureStoreAccess - Aggiornamento a una politica esistente | 2 | Aggiunta l'autorizzazione `s3:PutObjectAcl`. | 23 febbraio 2021 |
| AmazonSageMakerFeatureStoreAccess - Nuova politica | 1 | Policy iniziale | 1 dicembre 2020 |
# AWS politiche gestite per Amazon SageMaker geospatial
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per l'utilizzo di dati geospaziali. SageMaker Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console AI. SageMaker
**Topics**
+ [AWS politica gestita: AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS politica gestita: AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Amazon SageMaker AI si aggiorna alle politiche gestite SageMaker geospaziali di Amazon](#security-iam-awsmanpol-geospatial-updates)
## AWS politica gestita: AmazonSageMakerGeospatialFullAccess
Questa politica concede autorizzazioni che consentono l'accesso completo ad Amazon SageMaker Geospatial tramite l'SDK and. Console di gestione AWS
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker-geospatial`— Consente ai mandanti l'accesso completo a tutte le risorse SageMaker geospaziali.
+ `iam`— Consente ai responsabili di trasferire un ruolo IAM a geospatial. SageMaker
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerGeospatialExecutionRole
Questa politica concede le autorizzazioni comunemente necessarie per l'utilizzo SageMaker di dati geospaziali.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome contiene "SageMaker«, «Sagemaker» o «sagemaker».
+ `sagemaker-geospatial`: consente alle entità principali di accedere ai processi di osservazione di Earth tramite l'API `GetEarthObservationJob`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Amazon SageMaker AI si aggiorna alle politiche gestite SageMaker geospaziali di Amazon
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per il settore SageMaker geospaziale da quando questo servizio ha iniziato a tenere traccia di queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole): policy aggiornata | 2 | Aggiunta l'autorizzazione `sagemaker-geospatial:GetRasterDataCollection`. | 10 maggio 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess): nuova policy | 1 | Policy iniziale | 30 novembre 2022 |
| AmazonSageMakerGeospatialExecutionRole - Nuova politica | 1 | Policy iniziale | 30 novembre 2022 |
# AWS Politiche gestite per Amazon SageMaker Ground Truth
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare SageMaker AI Ground Truth. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI aggiorna le politiche gestite da SageMaker AI Ground Truth](#security-iam-awsmanpol-groundtruth-updates)
## AWS politica gestita: AmazonSageMakerGroundTruthExecution
Questa politica AWS gestita concede le autorizzazioni comunemente necessarie per utilizzare SageMaker AI Ground Truth.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `lambda`— Consente ai principali di richiamare funzioni Lambda il cui nome include «sagemaker» (senza distinzione tra maiuscole e minuscole), "«o"». GtRecipe LabelingFunction
+ `s3`: consente alle entità principali di aggiungere e recuperare oggetti dai bucket Amazon S3. Questi oggetti sono limitati a quelli il cui nome senza distinzione tra maiuscole e minuscole contiene «groundtruth» o «sagemaker» o sono etichettati con "». SageMaker
+ `cloudwatch`— Consente ai dirigenti di pubblicare metriche. CloudWatch
+ `logs`: consente alle entità principali di creare e accedere ai flussi di log e di pubblicare eventi di log.
+ `sqs`: consente alle entità principali di creare code Amazon SQS e inviare e ricevere messaggi Amazon SQS. Queste autorizzazioni sono limitate alle code il cui nome include "». GroundTruth
+ `sns`: consente alle entità principali di sottoscrivere e pubblicare messaggi su argomenti di Amazon SNS il cui nome insensibile alle maiuscole e minuscole contiene "groundtruth" o "sagemaker".
+ `ec2`— Consente ai responsabili di creare, descrivere ed eliminare endpoint Amazon VPC il cui nome del servizio di endpoint VPC sagemaker-task-resources contiene "" o «etichettatura».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite da SageMaker AI Ground Truth
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI Ground Truth da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) - Aggiornamento a una policy esistente | 3 | Aggiunte le autorizzazioni `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` e `ec2:DeleteVpcEndpoints`. | 29 aprile 2022 |
| AmazonSageMakerGroundTruthExecution - Aggiornamento a una politica esistente | 2 | Rimossa l'autorizzazione `sqs:SendMessageBatch`. | 11 aprile 2022 |
| AmazonSageMakerGroundTruthExecution - Nuova politica | 1 | Policy iniziale | 20 luglio 2020 |
# AWS politiche gestite per Amazon SageMaker HyperPod
Le seguenti politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker HyperPod. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console di SageMaker intelligenza artificiale o dal ruolo collegato al HyperPod servizio.
**Topics**
+ [AWS politica gestita: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS politica gestita: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS politica gestita: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS politica gestita: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Aggiornamenti di Amazon SageMaker AI alle politiche SageMaker HyperPod gestite](#security-iam-awsmanpol-hyperpod-updates)
# AWS politica gestita: AmazonSageMakerHyperPodTrainingOperatorAccess
Questa politica fornisce le autorizzazioni amministrative necessarie per configurare l'operatore di formazione. SageMaker HyperPod Consente l'accesso ai SageMaker HyperPod componenti aggiuntivi di Amazon EKS. La policy include le autorizzazioni per descrivere SageMaker HyperPod le risorse del tuo account.
**Dettagli dell’autorizzazione**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker:DescribeClusterNode`- Consente agli utenti di restituire informazioni su un HyperPod cluster.
Per visualizzare le autorizzazioni per questa politica, consulta [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)il AWS Managed Policy Reference.
# AWS politica gestita: AmazonSageMakerHyperPodObservabilityAdminAccess
Questa politica fornisce i privilegi amministrativi necessari per configurare l' SageMaker HyperPodosservabilità di Amazon. Concede l’accesso ai componenti aggiuntivi Servizio gestito da Amazon per Prometheus, Grafana gestito da Amazon e Amazon Elastic Kubernetes Service. La policy include anche un ampio accesso a Grafana HTTP APIs ServiceAccountTokens attraverso tutte le aree di lavoro Amazon Managed Grafana del tuo account.
**Dettagli dell’autorizzazione**
L’elenco seguente fornisce una panoramica delle autorizzazioni incluse in questa policy.
+ `prometheus`: crea e gestisce spazi di lavoro e gruppi di regole del Servizio gestito da Amazon per Prometheus
+ `grafana`: crea e gestisce spazi di lavoro e account di servizio di Grafana gestito da Amazon
+ `eks`: crea e gestisce il componente aggiuntivo `amazon-sagemaker-hyperpod-observability` di Amazon EKS
+ `iam`: passa ruoli di servizio IAM specifici a Grafana gestito da Amazon e Amazon EKS
+ `sagemaker`— Elenca e descrive i cluster SageMaker HyperPod
+ `sso`: crea e gestisce le istanze dell’applicazione Centro identità IAM per la configurazione di Grafana gestito da Amazon
+ `tag`: tagga le risorse dei componenti aggiuntivi Servizio gestito da Amazon per Prometheus, Grafana gestito da Amazon e Amazon EKS
Per visualizzare la policy JSON, vedere. [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html)
# AWS politica gestita: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod crea e utilizza il ruolo collegato al servizio denominato `AWSServiceRoleForSageMakerHyperPod` con l'`AmazonSageMakerHyperPodServiceRolePolicy`allegato al ruolo. Questa politica concede SageMaker HyperPod le autorizzazioni di Amazon per AWS servizi correlati come Amazon EKS e Amazon. CloudWatch
Il ruolo collegato al servizio semplifica la configurazione SageMaker HyperPod perché non è necessario aggiungere manualmente le autorizzazioni necessarie. SageMaker HyperPod definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. SageMaker HyperPod Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi SageMaker HyperPod le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
`AmazonSageMakerHyperPodServiceRolePolicy`Consente di SageMaker HyperPod completare le seguenti azioni sulle risorse specificate per tuo conto.
**Dettagli delle autorizzazioni**
Questa policy di ruolo collegata al servizio include le autorizzazioni seguenti.
+ `eks`: consente ai principali di leggere le informazioni sul cluster Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Consente ai responsabili di pubblicare i flussi di CloudWatch log di Amazon su. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per SageMaker HyperPod
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un SageMaker HyperPod cluster utilizzando la console SageMaker AI, o il AWS CLI AWS SDKs, SageMaker HyperPod crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio ma devi crearlo di nuovo, puoi utilizzare lo stesso processo (creare un nuovo SageMaker HyperPod cluster) per ricreare il ruolo nel tuo account.
## Modifica di un ruolo collegato al servizio per SageMaker HyperPod
SageMaker HyperPod non consente di modificare il ruolo collegato al `AWSServiceRoleForSageMakerHyperPod` servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per SageMaker HyperPod
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Per eliminare le risorse SageMaker HyperPod del cluster utilizzando il ruolo collegato al servizio**
Utilizza una delle seguenti opzioni per eliminare le risorse SageMaker HyperPod del cluster.
+ [Elimina un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) utilizzando la console SageMaker AI
+ [Eliminare un SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) utilizzando il AWS CLI
**Nota**
Se il SageMaker HyperPod servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo `AWSServiceRoleForSageMakerHyperPod` collegato al servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi SageMaker HyperPod
SageMaker HyperPod supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, vedere [Prerequisiti per](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html). SageMaker HyperPod
# AWS politica gestita: AmazonSageMakerClusterInstanceRolePolicy
Questa politica concede le autorizzazioni comunemente necessarie per utilizzare Amazon. SageMaker HyperPod
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `cloudwatch`— Consente ai mandanti di pubblicare le CloudWatch metriche di Amazon.
+ `logs`— Consente ai mandanti di pubblicare CloudWatch flussi di log.
+ `s3`: consente ai principali di elencare e recuperare i file di script del ciclo di vita da un bucket Amazon S3 nell’account. Questi bucket sono limitati a quelli il cui nome inizia con “sagemaker-”.
+ `ssmmessages`: consente ai principali di aprire una connessione a AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Aggiornamenti di Amazon SageMaker AI alle politiche SageMaker HyperPod gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite SageMaker HyperPod da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md): nuova policy | 1 | Policy iniziale | 22 agosto 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): policy aggiornata | 2 | È stata aggiornata la policy per limitare l’ambito di applicazione del ruolo per includere il prefisso `service-role`. Sono state inoltre aggiunte le autorizzazioni necessarie per `eks:DeletePodIdentityAssociation` `eks:UpdatePodIdentityAssociation` end-to-end le azioni amministrative. | 19 agosto 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): nuova policy | 1 | Policy iniziale | 10 luglio 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md): nuova policy | 1 | Policy iniziale | 9 settembre 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md): nuova policy | 1 | Policy iniziale | 29 novembre 2023 |
# AWS Politiche gestite per la governance dei modelli di SageMaker intelligenza artificiale
Questa policy AWS gestita aggiunge le autorizzazioni necessarie per utilizzare SageMaker AI Model Governance. La policy è disponibile nel tuo AWS account e viene utilizzata dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Model Governance](#security-iam-awsmanpol-governance-updates)
## AWS politica gestita: AmazonSageMakerModelGovernanceUseAccess
Questa policy AWS gestita concede le autorizzazioni necessarie per utilizzare tutte le funzionalità di Amazon SageMaker AI Governance. La politica è disponibile nel tuo AWS account.
Questa policy include le seguenti autorizzazioni:
+ `s3`: recupera oggetti dai bucket Amazon S3. Gli oggetti recuperabili sono limitati a quelli il cui nome insensibile alle maiuscole e minuscole contiene la stringa `"sagemaker"`.
+ `kms`— Elenca le AWS KMS chiavi da utilizzare per la crittografia dei contenuti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Model Governance
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per SageMaker AI Model Governance da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) - Aggiornamento a una policy esistente | 3 | Aggiungi dichiarazione IDs ()`Sid`. | 4 giugno 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Aggiornamento a una politica esistente | 2 | Aggiunte le autorizzazioni `sagemaker:DescribeModelPackage` e `DescribeModelPackageGroup`. | 17 luglio 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Nuova politica | 1 | Policy iniziale | 30 novembre 2022 |
# AWS Politiche gestite per Model Registry
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Model Registry. Le policy sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console Amazon SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Amazon SageMaker AI si aggiorna alle politiche gestite da Model Registry](#security-iam-awsmanpol-model-registry-updates)
## AWS politica gestita: AmazonSageMakerModelRegistryFullAccess
Questa politica AWS gestita concede le autorizzazioni necessarie per utilizzare tutte le funzionalità di Model Registry all'interno di un dominio Amazon SageMaker AI. Questa policy è collegata a un ruolo di esecuzione durante la configurazione delle impostazioni di Model Registry per abilitare le autorizzazioni di Model Registry.
Questa policy include le seguenti autorizzazioni:
+ `ecr`: consente alle entità principali di recuperare le informazioni, inclusi i metadati, sulle immagini Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Consente ai responsabili di trasferire il ruolo di esecuzione al servizio Amazon SageMaker AI.
+ `resource-groups`— Consente ai principali di creare, elencare, etichettare ed eliminare. AWS Resource Groups
+ `s3`: consente alle entità principali di recuperare oggetti dai bucket Amazon Simple Storage Service (Amazon S3) in cui sono archiviate le versioni del modello. Gli oggetti recuperabili sono limitati a quelli il cui nome insensibile alle maiuscole e minuscole contiene la stringa `"sagemaker"`.
+ `sagemaker`— Consente ai responsabili di catalogare, gestire e distribuire modelli utilizzando il Model SageMaker Registry.
+ `kms`— Consente solo al responsabile del servizio SageMaker AI di aggiungere una concessione, generare chiavi di dati, decrittografare e leggere chiavi e solo AWS KMS le chiavi contrassegnate per l'uso come «sagemaker».
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Amazon SageMaker AI si aggiorna alle politiche gestite da Model Registry
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Model Registry da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) - Aggiornamento a una policy esistente | 2 | Aggiungi le autorizzazioni `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` e `kms:Decrypt`. | 6 giugno 2024 |
| AmazonSageMakerModelRegistryFullAccess - Nuova politica | 1 | Policy iniziale | 12 aprile 2023 |
# AWS Policy gestite per SageMaker notebook
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare i notebook. SageMaker Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console AI. SageMaker
**Topics**
+ [AWS politica gestita: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS politica gestita: AmazonSageMakerNotebooksServiceRolePolicy
Questa politica AWS gestita concede le autorizzazioni comunemente necessarie per utilizzare Amazon SageMaker Notebooks. La policy viene aggiunta a `AWSServiceRoleForAmazonSageMakerNotebooks` quella creata durante l'onboarding su Amazon SageMaker Studio Classic. Per ulteriori informazioni sui ruoli collegati ai servizi, consulta [Ruoli collegati ai servizi](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Per ulteriori informazioni, consulta [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html)
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `elasticfilesystem`: consente alle entità principali di creare ed eliminare i file system Amazon Elastic File System (EFS), i punti di accesso e i target di montaggio. Queste sono limitate a quelle contrassegnate con la chiave *ManagedByAmazonSageMakerResource*. Consente alle entità principali di descrivere tutti i file system EFS, i punti di accesso e i target di montaggio. Consente alle entità principali di creare o sovrascrivere i tag per i punti di accesso EFS e i target di montaggio.
+ `ec2`: consente alle entità principali di creare interfacce di rete e gruppi di sicurezza per le istanze di Amazon Elastic Compute Cloud (EC2). Consente inoltre alle entità principali di creare e sovrascrivere i tag per queste risorse.
+ `sso`: consente alle entità principali di aggiungere ed eliminare in AWS IAM Identity Center istanze di applicazioni gestite.
+ `sagemaker`— Consente ai responsabili di creare e leggere SageMaker profili utente e spazi SageMaker AI, eliminare spazi SageMaker AI e app SageMaker AI e aggiungere ed elencare tag.
+ `fsx`— Consente ai responsabili di descrivere il file system Amazon FSx for Lustre e di utilizzare i metadati per montarlo sul notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite di SageMaker AI Notebooks
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Aggiornamento a una policy esistente | 10 | Aggiunta l'autorizzazione `fsx:DescribeFileSystems`. | 14 novembre 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Aggiornamento a una policy esistente | 9 | Aggiunta l'autorizzazione `sagemaker:DeleteApp`. | 24 luglio 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente | 8 | Aggiunte le autorizzazioni `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` e `sagemaker:AddTags`. | 22 maggio 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente | 7 | Aggiunta l'autorizzazione `elasticfilesystem:TagResource`. | 9 marzo 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Aggiornamento a una politica esistente | 6 | Aggiunte le autorizzazioni `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` e `elasticfilesystem:DescribeAccessPoints`. | 12 gennaio 2023 |
| | | SageMaker L'intelligenza artificiale ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. | 1 giugno 2021 |
# AWS politiche gestite per Amazon SageMaker Partner AI Apps
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare Amazon SageMaker Partner AI Apps. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Aggiornamenti di Amazon SageMaker AI alle politiche gestite da Partner AI Apps](#security-iam-awsmanpol-partner-apps-updates)
## AWS politica gestita: AmazonSageMakerPartnerAppsFullAccess
Consente l'accesso amministrativo completo alle app AI di Amazon SageMaker Partner.
**Dettagli delle autorizzazioni**
Questa politica AWS gestita include le seguenti autorizzazioni.
+ `sagemaker`— Fornisce agli utenti dell'app Amazon SageMaker Partner AI il permesso di accedere alle applicazioni, elencare le applicazioni disponibili, avviare applicazioni Web UIs e connettersi utilizzando l'SDK dell'applicazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Aggiornamenti di Amazon SageMaker AI alle politiche gestite da Partner AI Apps
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per Partner AI Apps da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della [cronologia dei documenti SageMaker ](doc-history.md) AI.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Nuova politica | 1 | Policy iniziale | 17 gennaio 2025 |
# AWS Politiche gestite per le SageMaker condutture
Queste politiche AWS gestite aggiungono le autorizzazioni necessarie per utilizzare SageMaker Pipelines. Le politiche sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
**Topics**
+ [AWS politica gestita: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI aggiorna le politiche gestite da SageMaker AI Pipelines](#security-iam-awsmanpol-pipelines-updates)
## AWS politica gestita: AmazonSageMakerPipelinesIntegrations
Questa policy AWS gestita concede le autorizzazioni comunemente necessarie per utilizzare i passaggi Callback e i passaggi Lambda in Pipelines. SageMaker La policy viene aggiunta a `AmazonSageMaker-ExecutionRole` quella creata durante l'onboarding su Amazon SageMaker Studio Classic. La policy può essere collegata a qualsiasi ruolo utilizzato per la creazione o l'esecuzione di una pipeline.
Questa politica concede le autorizzazioni AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon e IAM appropriate necessarie per la creazione di pipeline che richiamano funzioni Lambda o includono passaggi di callback, che possono essere utilizzati per fasi di approvazione manuali o per l'esecuzione di carichi di lavoro personalizzati.
Le autorizzazioni Amazon SQS consentono di creare la coda Amazon SQS necessaria per ricevere messaggi di richiamata e anche per inviare messaggi a quella coda.
Le autorizzazioni Lambda consentono di creare, leggere, aggiornare ed eliminare le funzioni Lambda utilizzate nelle fasi delle pipeline e anche di richiamare tali funzioni Lambda.
Questa policy concede le autorizzazioni di Amazon EMR necessarie per eseguire una fase Amazon EMR delle pipeline.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `elasticmapreduce`: consente di leggere, aggiungere e annullare le fasi in un cluster Amazon EMR in esecuzione. Consente di leggere, creare e terminare un nuovo cluster Amazon EMR.
+ `events`— Leggi, crea, aggiorna e aggiungi obiettivi a una regola denominata and. EventBridge `SageMakerPipelineExecutionEMRStepStatusUpdateRule` `SageMakerPipelineExecutionEMRClusterStatusUpdateRule`
+ `iam`— Trasferisci un ruolo IAM al servizio AWS Lambda, Amazon EMR e Amazon EC2.
+ `lambda`: consente di creare, leggere, aggiornare, eliminare e richiamare funzioni Lambda. Queste autorizzazioni sono limitate alle funzioni il cui nome include "sagemaker".
+ `sqs`: consente di creare una coda Amazon SQS e di inviare un messaggio Amazon SQS. Queste autorizzazioni sono limitate alle code il cui nome include "sagemaker".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche gestite da SageMaker AI Pipelines
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Aggiornamento a una policy esistente | 3 | Aggiunte le autorizzazioni per `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps` e `elasticmapreduce:DescribeCluster`. | 17 febbraio 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Aggiornamento a una policy esistente | 2 | Aggiunte le autorizzazioni per `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps` e `elasticmapreduce:DescribeStep`. | 20 aprile 2022 |
| AmazonSageMakerPipelinesIntegrations - Nuova politica | 1 | Policy iniziale | 30 luglio 2021 |
# AWS politiche gestite per i piani SageMaker di formazione
Questa politica AWS gestita concede le autorizzazioni necessarie per creare e gestire i piani di SageMaker formazione Amazon e la capacità riservata nell' SageMaker intelligenza artificiale. La policy può essere associata ai ruoli IAM utilizzati per creare e gestire piani di formazione e capacità riservata all'interno dell' SageMaker IA, incluso il ruolo di [esecuzione dell'SageMaker IA](sagemaker-roles.md).
**Topics**
+ [AWS politica gestita: AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [Amazon SageMaker AI aggiorna i piani di SageMaker formazione, le politiche gestite](#security-iam-awsmanpol-training-plan-updates)
## AWS politica gestita: AmazonSageMakerTrainingPlanCreateAccess
Questa politica fornisce le autorizzazioni necessarie per creare, descrivere, cercare ed elencare piani di formazione nell' SageMaker IA. Inoltre, consente anche di aggiungere tag ai piani di addestramento e alle risorse di capacità riservata in determinate condizioni.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker`: crea piani di addestramento e capacità riservata, consente di aggiungere tag ai piani di addestramento e capacità riservata quando l’azione di tagging è esclusivamente `CreateTrainingPlan` o `CreateReservedCapacity`, consente di descrivere i piani di addestramento, consente di cercare le offerte dei piani di addestramento ed elencare i piani di addestramento esistenti su tutte le risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI aggiorna i piani di SageMaker formazione, le politiche gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - politica aggiornata | 2 | Politica aggiornata per aggiungere autorizzazioni per recuperare informazioni su una capacità riservata specifica ed elencare tutte le informazioni UltraServers in una capacità riservata. | 29 luglio 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Nuova politica | 1 | Policy iniziale | 4 dicembre 2024 |
# AWS Politiche gestite per SageMaker progetti e JumpStart
Queste policy AWS gestite aggiungono le autorizzazioni per utilizzare modelli e JumpStart soluzioni di progetto Amazon SageMaker AI integrati. Le policy sono disponibili nel tuo AWS account e vengono utilizzate dai ruoli di esecuzione creati dalla console SageMaker AI.
SageMaker Progetta e JumpStart utilizza AWS Service Catalog per fornire AWS risorse negli account dei clienti. Alcune risorse create devono assumere un ruolo di esecuzione. Ad esempio, se AWS Service Catalog crea una CodePipeline pipeline per conto di un cliente per un CI/CD progetto di machine learning basato sull' SageMaker intelligenza artificiale, tale pipeline richiede un ruolo IAM.
Il [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)ruolo dispone delle autorizzazioni necessarie per avviare il portafoglio di prodotti SageMaker AI da AWS Service Catalog. Il [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)ruolo dispone delle autorizzazioni necessarie per utilizzare il portafoglio di prodotti SageMaker AI di AWS Service Catalog. Il `AmazonSageMakerServiceCatalogProductsLaunchRole` ruolo passa un `AmazonSageMakerServiceCatalogProductsUseRole` ruolo alle risorse di prodotto AWS Service Catalog fornite.
**Topics**
+ [AWS politica gestita: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS politica gestita: politica AmazonSageMakerServiceCatalogProductsCloudformationServiceRole](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsEventsServiceRole politica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole politica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS politica gestita: AmazonSageMakerServiceCatalogProductsGlueServiceRole politica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS politica gestita: politica AmazonSageMakerServiceCatalogProductsLambdaServiceRole](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [Amazon SageMaker AI aggiorna le politiche AWS gestite di AWS Service Catalog](#security-iam-awsmanpol-sc-updates)
## AWS politica gestita: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Questa politica del ruolo di servizio viene utilizzata dal AWS Service Catalog servizio per fornire prodotti del portafoglio Amazon SageMaker AI. La politica concede le autorizzazioni a una serie di AWS servizi correlati tra cui AWS CodePipeline,, AWS CodeBuild, AWS CodeCommit AWS Glue e AWS CloudFormation altri.
La `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` policy è pensata per essere utilizzata dal `AmazonSageMakerServiceCatalogProductsLaunchRole` ruolo creato dalla console SageMaker AI. La politica aggiunge le autorizzazioni per fornire AWS risorse per SageMaker Projects e JumpStart utilizzare Service Catalog all'account di un cliente.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `apigateway`: consente al ruolo di chiamare gli endpoint Gateway API contrassegnati con il tag `sagemaker:launch-source`.
+ `cloudformation`— Consente di AWS Service Catalog creare, aggiornare ed eliminare CloudFormation pile. Consente inoltre al Catalogo dei servizi di taggare e rimuovere i tag dalle risorse.
+ `codebuild`— Consente al ruolo assunto AWS Service Catalog e passato di CloudFormation creare, aggiornare ed eliminare CodeBuild progetti.
+ `codecommit`— Consente al ruolo assunto AWS Service Catalog e passato CloudFormation a creare, aggiornare ed eliminare i CodeCommit repository.
+ `codepipeline`— Consente al ruolo assunto AWS Service Catalog e passato di CloudFormation creare, aggiornare ed eliminare CodePipelines.
+ `codeconnections`, `codestar-connections` — Consente inoltre il passaggio del ruolo AWS CodeConnections e AWS CodeStar le connessioni.
+ `cognito-idp`: consente al ruolo di creare, aggiornare ed eliminare gruppi e pool di utenti. Consente inoltre di assegnare tag alle risorse.
+ `ecr`— Consente il ruolo assunto AWS Service Catalog e passato CloudFormation a creare ed eliminare repository Amazon ECR. Consente inoltre di assegnare tag alle risorse.
+ `events`— Consente al ruolo assunto AWS Service Catalog e passato di CloudFormation creare ed eliminare EventBridge regole. Utilizzata per legare insieme i vari componenti della pipeline CICD.
+ `firehose`: consente al ruolo di interagire con i flussi Firehose.
+ `glue`— Consente al ruolo di interagire con AWS Glue.
+ `iam`: consente al ruolo di passare i ruoli preceduti da `AmazonSageMakerServiceCatalog`. È necessaria quando i progetti effettuano il provisioning di un prodotto AWS Service Catalog , poiché è necessario passare un ruolo a AWS Service Catalog.
+ `lambda`: consente al ruolo di interagire con AWS Lambda. Consente inoltre di assegnare tag alle risorse.
+ `logs`: consente al ruolo di creare, eliminare e accedere ai flussi di log.
+ `s3`— Consente al ruolo assunto AWS Service Catalog e passato di accedere CloudFormation ai bucket Amazon S3 in cui è memorizzato il codice del modello di progetto.
+ `sagemaker`— Consente al ruolo di interagire con vari servizi di SageMaker intelligenza artificiale. Questa operazione viene eseguita sia CloudFormation durante il provisioning del modello, sia CodeBuild durante l'esecuzione della pipeline CICD. Consente inoltre di assegnare tag alle seguenti risorse: endpoint, configurazioni degli endpoint, modelli, pipeline, progetti e pacchetti di modelli.
+ `states`: consente al ruolo di creare, eliminare e aggiornare il servizio Step Functions preceduto da `sagemaker`.
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) nel Managed Policy Reference. AWS
## AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Questa politica viene utilizzata da Amazon API Gateway all'interno AWS Service Catalog dei prodotti forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da API Gateway che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `lambda`: consente di richiamare una funzione creata da un modello di partner.
+ `sagemaker`: consente di richiamare un endpoint creato da un modello di partner.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Questa politica viene utilizzata AWS CloudFormation all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)viene trasferito alle AWS risorse create CloudFormation che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `iam`: consente di passare i ruoli `AmazonSageMakerServiceCatalogProductsLambdaRole` e `AmazonSageMakerServiceCatalogProductsApiGatewayRole`.
+ `lambda`— Creare, aggiornare, eliminare e richiamare AWS Lambda funzioni; recuperare, pubblicare ed eliminare versioni di un layer Lambda.
+ `apigateway`: consente di creare, aggiornare ed eliminare le risorse Gateway Amazon API.
+ `s3`: consente di recuperare il file `lambda-auth-code/layer.zip` da un bucket Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Questa politica viene utilizzata AWS Lambda all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da Lambda che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `secretsmanager`: consente di recuperare i dati dai segreti forniti dal partner per un modello di partner.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Questa politica viene utilizzata da Amazon API Gateway all'interno AWS Service Catalog dei prodotti forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da API Gateway che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `logs`— Creare e leggere gruppi di CloudWatch log, flussi ed eventi; aggiornare gli eventi; descrivere varie risorse.
Queste autorizzazioni sono limitate alle risorse il cui prefisso del gruppo di log inizia con "aws/apigateway/".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS politica gestita: politica AmazonSageMakerServiceCatalogProductsCloudformationServiceRole
Questa politica viene utilizzata AWS CloudFormation all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)viene trasferito alle AWS risorse create CloudFormation che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker`— Consenti l'accesso a varie risorse SageMaker AI, esclusi domini, profili utente, app e definizioni di flusso.
+ `iam`: consente di passare i ruoli `AmazonSageMakerServiceCatalogProductsCodeBuildRole` e `AmazonSageMakerServiceCatalogProductsExecutionRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Questa politica viene utilizzata AWS CodeBuild all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)viene trasferito alle AWS risorse create CodeBuild che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker`— Consenti l'accesso a varie risorse SageMaker AI.
+ `codecommit`— Carica CodeCommit gli archivi CodeBuild nelle pipeline, visualizza lo stato del caricamento e annulla i caricamenti; ottieni informazioni sulle filiali e sui commit. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-".
+ `ecr`: consente di creare repository di Amazon ECR e immagini di container; consente di caricare livelli di immagini. Queste autorizzazioni sono limitate ai repository il cui nome inizia con "sagemaker-".
`ecr`: consente di leggere tutte le risorse.
+ `iam`: consente di passare i seguenti ruoli:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`a. AWS CloudFormation
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`a AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`a AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`ad Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`ad Amazon SageMaker AI.
+ `logs`— Crea e leggi gruppi di CloudWatch log, stream ed eventi; aggiorna gli eventi; descrivi varie risorse.
Queste autorizzazioni sono limitate alle risorse il cui prefisso inizia con "aws/codebuild/".
+ `s3`: consente di creare, leggere ed elencare i bucket Amazon S3. Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-".
+ `codeconnections`, `codestar-connections` — Uso AWS CodeConnections e connessioni. AWS CodeStar
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)nel AWS Managed Policy Reference.
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Questa politica viene utilizzata AWS CodePipeline all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)viene trasferito alle AWS risorse create CodePipeline che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `cloudformation`— Creare, leggere, eliminare e aggiornare gli CloudFormation stack; creare, leggere, eliminare ed eseguire set di modifiche; impostare la politica dello stack; etichettare e rimuovere i tag dalle risorse. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-".
+ `s3`: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.
Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-.
+ `iam`: consente di passare il ruolo `AmazonSageMakerServiceCatalogProductsCloudformationRole`.
+ `codebuild`— Ottieni informazioni sulla CodeBuild build e avvia le build. Queste autorizzazioni sono limitate alle risorse di progetto e compilazione il cui nome inizia con "sagemaker-".
+ `codecommit`— Carica CodeCommit gli archivi CodeBuild nelle pipeline, visualizza lo stato del caricamento e annulla i caricamenti; ottieni informazioni sulle filiali e sui commit.
+ `codeconnections`, `codestar-connections` — Utilizzo AWS CodeConnections e connessioni. AWS CodeStar
Per visualizzare le autorizzazioni per questa politica, vedere [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)nel AWS Managed Policy Reference.
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsEventsServiceRole politica
Questa politica viene utilizzata da Amazon EventBridge all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy è pensata per essere associata a un ruolo IAM che viene [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)trasferito alle AWS risorse da esso create EventBridge che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `codepipeline`— Avvia un' CodeBuild esecuzione. Queste autorizzazioni sono limitate alle pipeline il cui nome inizia con "sagemaker-".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole politica
Questa politica viene utilizzata da Amazon Data Firehose all'interno dei prodotti AWS Service Catalog forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da Firehose che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `firehose`: invia i record di Firehose. Queste autorizzazioni sono limitate alle risorse il cui nome del flusso di distribuzione inizia con "sagemaker-".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS politica gestita: AmazonSageMakerServiceCatalogProductsGlueServiceRole politica
Questa politica viene utilizzata da AWS Glue all'interno dei prodotti forniti da AWS Service Catalog del portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da Glue che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `glue`— Crea, leggi ed elimina partizioni, tabelle e versioni di tabelle AWS Glue. Queste autorizzazioni sono limitate alle risorse il cui nome inizia con "sagemaker-". Crea e leggi i database AWS Glue. Queste autorizzazioni sono limitate ai database il cui nome è "default", "global\$1temp" o inizia con "sagemaker-". Consente di ottenere funzioni definite dall'utente.
+ `s3`: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.
Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-".
+ `logs`— Crea, leggi ed elimina i CloudWatch log, i gruppi di log, i flussi e le consegne e crea una politica delle risorse.
Queste autorizzazioni sono limitate alle risorse il cui prefisso inizia con "aws/glue/".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS politica gestita: politica AmazonSageMakerServiceCatalogProductsLambdaServiceRole
Questa politica viene utilizzata AWS Lambda all'interno dei AWS Service Catalog prodotti forniti dal portafoglio Amazon SageMaker AI. La policy deve essere associata a un ruolo IAM che [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)passa alle AWS risorse create da Lambda che richiedono un ruolo.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `sagemaker`— Consenti l'accesso a varie risorse SageMaker AI.
+ `ecr`: consente di creare ed eliminare repository di Amazon ECR; consente di creare, leggere ed eliminare immagini di container e caricare livelli di immagini. Queste autorizzazioni sono limitate ai repository il cui nome inizia con "sagemaker-".
+ `events`— Crea, leggi ed elimina EventBridge regole Amazon; crea e rimuovi obiettivi. Queste autorizzazioni sono limitate alle regole il cui nome inizia con "sagemaker-".
+ `s3`: consente di creare, leggere, elencare ed eliminare i bucket Amazon S3; consente di aggiungere, leggere ed eliminare oggetti dai bucket, leggere e impostare la configurazione CORS, leggere la lista di controllo degli accessi (ACL) e leggere la Regione AWS in cui risiede il bucket.
Queste autorizzazioni sono limitate ai bucket il cui nome inizia con "sagemaker-" o "aws-glue-".
+ `iam`: consente di passare il ruolo `AmazonSageMakerServiceCatalogProductsExecutionRole`.
+ `logs`— Crea, leggi ed elimina CloudWatch Logs, gruppi di log, stream e consegne; e crea una politica delle risorse.
Queste autorizzazioni sono limitate alle risorse il cui prefisso del nome inizia con "aws/lambda/".
+ `codebuild`— Avvia e ottieni informazioni sulle build. AWS CodeBuild
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Amazon SageMaker AI aggiorna le politiche AWS gestite di AWS Service Catalog
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon SageMaker AI da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): policy aggiornata | 10 | Aggiornamenti `codestar-connections:PassConnection` e `codeconnections:PassConnection` autorizzazioni. | 27 settembre 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): policy aggiornata | 3 | Aggiornamenti `codestar-connections:UseConnection` e `codeconnections:UseConnection` autorizzazioni. | 27 settembre 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): policy aggiornata | 3 | Aggiornamenti `codestar-connections:UseConnection` e `codeconnections:UseConnection` autorizzazioni. | 27 settembre 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): policy aggiornata | 9 | Aggiunte le autorizzazioni `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 1° luglio 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 7 | Esegui il rollback della policy alla versione 7 (v7). Rimuovi le autorizzazioni `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 12 giugno 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 8 | Aggiunte le autorizzazioni `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 11 giugno 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): policy aggiornata | 2 | Aggiunte le autorizzazioni `codestar-connections:UseConnection` e `codeconnections:UseConnection`. | 11 giugno 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): policy aggiornata | 2 | Aggiungi le autorizzazioni `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` e `codeconnections:UseConnection`. | 11 giugno 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy): policy aggiornata | 2 | Aggiunte le autorizzazioni `codebuild:StartBuild` e `codebuild:BatchGetBuilds`. | 11 giugno 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Policy iniziale | 1° agosto 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Policy iniziale | 1° agosto 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Policy iniziale | 1° agosto 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy): policy aggiornata | 2 | Aggiunta l'autorizzazione per `glue:GetUserDefinedFunctions` | 26 agosto 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 7 | Aggiunta l'autorizzazione per `sagemaker:AddTags` | 2 agosto 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 6 | Aggiunta l'autorizzazione per `lambda:TagResource` | 14 luglio 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolitica | 1 | Policy iniziale | 4 aprile 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Policy iniziale | 24 marzo 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Policy iniziale | 24 marzo 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Policy iniziale | 24 marzo 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 5 | Aggiunta l'autorizzazione per `ecr-idp:TagResource` | 21 marzo 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Policy iniziale | 22 febbraio 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Policy iniziale | 22 febbraio 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolitica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Policy iniziale | 22 febbraio 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolitica | 1 | Policy iniziale | 22 febbraio 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 4 | Aggiunte le autorizzazioni per `cognito-idp:TagResource` e `s3:PutBucketCORS`. | 16 febbraio 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 3 | Aggiunte nuove autorizzazioni per `sagemaker`. Crea, leggi, aggiorna ed elimina SageMaker immagini. | 15 settembre 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Politica aggiornata | 2 | Aggiunte le autorizzazioni per `sagemaker` e `codestar-connections`. Consente di creare, leggere, aggiornare ed eliminare i repository di codice. Passa AWS CodeStar le connessioni a AWS CodePipeline. | 1° luglio 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Policy iniziale | 27 novembre 2020 |
## SageMaker Aggiornamenti AI alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per l' SageMaker intelligenza artificiale da quando questo servizio ha iniziato a tracciare queste modifiche.
| Policy | Versione | Modifica | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Aggiornamento a una policy esistente | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 dicembre 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Aggiornamento a una policy esistente | 26 | Aggiunta l'autorizzazione `sagemaker:AddTags`. | 29 marzo 2024 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 25 | Aggiunta delle autorizzazioni `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` e `s3express:ListAllMyDirectoryBuckets`. | 30 novembre 2023 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 24 | Aggiunte le autorizzazioni `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` e `sagemaker:ListSpaces`. | 30 novembre 2022 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 23 | Add `glue:UpdateTable`. | 29 giugno 2022 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 22 | Add `cloudformation:ListStackResources`. | 1 maggio 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) - Aggiornamento a una policy esistente | 11 | Aggiunte le autorizzazioni `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage` e `sagemaker:GetModelPackageGroupPolicy`. | 1° dicembre 2021 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 21 | Aggiunte le autorizzazioni `sns:Publish` per gli endpoint con l'inferenza asincrona abilitata. | 08 settembre 2021 |
| AmazonSageMakerFullAccess - Aggiornamento a una politica esistente | 20 | Aggiornamento di autorizzazioni e risorse `iam:PassRole`. | 15 luglio 2021 |
| AmazonSageMakerReadOnly - Aggiornamento a una politica esistente | 10 | Nuova API `BatchGetRecord` aggiunta per SageMaker AI Feature Store. | 10 giugno 2021 |
| | | SageMaker L'IA ha iniziato a tracciare le modifiche alle sue politiche AWS gestite. | 1 giugno 2021 |
# Risoluzione dei problemi di Amazon SageMaker AI Identity and Access
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con SageMaker AI e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione nell'IA SageMaker](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse di SageMaker intelligenza artificiale](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione nell'IA SageMaker
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
L'errore di esempio seguente si verifica quando l'utente IAM `mateojackson` cerca di utilizzare la console per visualizzare i dettagli relativi a un processo di addestramento ma non dispone delle autorizzazioni `sagemaker:sagemaker:DescribeTrainingJob`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not
authorized to perform: sagemaker:DescribeTrainingJob on resource: my-example-widget
```
In questo caso, Mateo richiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `TrainingJob` utilizzando l'azione `sagemaker:DescribeTrainingJob`.
## Non sono autorizzato a eseguire `iam:PassRole`
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue policy devono essere aggiornate per consentirti di assegnare un ruolo all' SageMaker IA.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in SageMaker AI. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse di SageMaker intelligenza artificiale
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se l' SageMaker intelligenza artificiale supporta queste funzionalità, consulta. [Come funziona Amazon SageMaker AI con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Registrazione e monitoraggio
Puoi monitorare Amazon SageMaker AI utilizzando Amazon CloudWatch, che raccoglie dati grezzi e li elabora in metriche leggibili quasi in tempo reale. Queste statistiche vengono conservate per un periodo di 15 mesi, per permettere l'accesso alle informazioni storiche e offrire una prospettiva migliore sulle prestazioni del servizio o dell'applicazione web. È anche possibile impostare allarmi che controllano determinate soglie e inviare notifiche o intraprendere azioni quando queste soglie vengono raggiunte. Per ulteriori informazioni, consulta [Metriche di Amazon SageMaker AI in Amazon CloudWatch](monitoring-cloudwatch.md).
Amazon CloudWatch Logs ti consente di monitorare, archiviare e accedere ai tuoi file di log da istanze Amazon EC2 e altre AWS CloudTrail fonti. Puoi raccogliere e tenere traccia dei parametri, creare dashboard personalizzati e impostare allarmi che ti avvisano o intraprendono azioni quando una determinata metrica raggiunge una soglia da te specificata. CloudWatch I log possono monitorare le informazioni nei file di registro e avvisare l'utente quando vengono raggiunte determinate soglie. Puoi inoltre archiviare i dati del log in storage estremamente durevole. Per ulteriori informazioni, consulta [CloudWatch Registri per Amazon SageMaker AI](logging-cloudwatch.md).
AWS CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio nell'IA. SageMaker Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta che è stata effettuata all' SageMaker IA, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta [Registrazione delle chiamate API Amazon SageMaker AI tramite AWS CloudTrail](logging-using-cloudtrail.md).
[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) è un servizio di rilevamento delle minacce che monitora e analizza continuamente la CloudTrail gestione e i registri degli eventi per identificare potenziali problemi di sicurezza. Quando GuardDuty abiliti un AWS account, questo avvia automaticamente l'analisi dei CloudTrail log per rilevare attività sospette. SageMaker APIs Ad esempio, GuardDuty rileva attività sospette quando un utente crea in modo anomalo una nuova istanza di notebook vuota o prefirmata che può essere successivamente utilizzata per azioni dannose. GuardDutyl'esclusivo rilevamento dell'esfiltrazione di credenziali può aiutare un cliente a identificare che le AWS credenziali associate all'istanza Amazon EC2 sono state esfiltrate e quindi utilizzate per effettuare chiamate da un altro account. SageMaker APIs AWS
Puoi creare regole in Amazon CloudWatch Events per reagire ai cambiamenti di stato in un processo di SageMaker formazione, ottimizzazione iperparametrica o trasformazione in batch. Per ulteriori informazioni, consulta [Eventi che Amazon SageMaker AI invia ad Amazon EventBridge](automating-sagemaker-with-eventbridge.md).
**Nota**
CloudTrail non monitora le chiamate verso. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
# Convalida della conformità per Amazon SageMaker AI
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza nell'IA di Amazon SageMaker
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Oltre all'infrastruttura AWS globale, Amazon SageMaker AI offre diverse funzionalità per aiutarti a supportare le tue esigenze di resilienza e backup dei dati.
# Sicurezza dell'infrastruttura in Amazon SageMaker AI
In quanto servizio gestito, Amazon SageMaker AI è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon SageMaker AI attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
**Topics**
+ [SageMaker L'intelligenza artificiale analizza i contenitori Marketplace AWS di formazione e inferenza alla ricerca di vulnerabilità di sicurezza](#mkt-container-scan)
+ [Connect alle risorse Amazon SageMaker AI dall'interno di un VPC](infrastructure-connect-to-resources.md)
+ [Esecuzione di container di addestramento e inferenza in modalità Internet-Free](mkt-algo-model-internet-free.md)
+ [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md)
+ [Consenti all' SageMaker IA di accedere alle risorse nel tuo Amazon VPC](infrastructure-give-access.md)
## SageMaker L'intelligenza artificiale analizza i contenitori Marketplace AWS di formazione e inferenza alla ricerca di vulnerabilità di sicurezza
Per soddisfare i nostri requisiti di sicurezza, tutte le [ SageMaker immagini predefinite](https://docs.aws.amazon.com/sagemaker/latest/dg-ecr-paths/sagemaker-algo-docker-registry-paths.html), inclusi AWS Deep Learning Containers, i contenitori del framework di machine learning SageMaker AI e i contenitori di algoritmi integrati nell' SageMaker intelligenza artificiale, nonché gli algoritmi e i pacchetti di modelli elencati Marketplace AWS vengono scansionati alla ricerca di vulnerabilità ed esposizioni comuni (CVE). CVE è un elenco di informazioni pubblicamente note sulle vulnerabilità ed esposizione di protezione. Il National Vulnerability Database (NVD) fornisce dettagli CVE quali gravità, grado di impatto e informazioni di correzione. CVE e NVD sono entrambi disponibili per l'utilizzo pubblico e gratuito da parte di strumenti e servizi di sicurezza. [Per ulteriori informazioni, consulta Domande frequenti su CVE (). FAQs](https://www.cve.org/ResourcesSupport/FAQs)
# Connect alle risorse Amazon SageMaker AI dall'interno di un VPC
**Importante**
Le seguenti informazioni si applicano sia ad Amazon SageMaker Studio che ad Amazon SageMaker Studio Classic. I concetti di connessione alle risorse all’interno di un VPC si applicano sia a Studio che a Studio Classic.
Per impostazione predefinita, le istanze di notebook Amazon SageMaker Studio e SageMaker AI consentono l'accesso diretto a Internet. SageMaker L'intelligenza artificiale ti consente di scaricare i pacchetti e i notebook più diffusi, personalizzare l'ambiente di sviluppo e lavorare in modo efficiente. Tuttavia, questo potrebbe creare una breccia per gli accessi non autorizzati ai dati. Ad esempio, se installi codice dannoso nel computer sotto forma di notebook o libreria di codice sorgente disponibile pubblicamente, questo potrebbe accedere ai tuoi dati. Puoi limitare il traffico che può accedere a Internet avviando le tue istanze di notebook Studio e SageMaker AI in un [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
Un Amazon Virtual Private Cloud è una rete virtuale dedicata al tuo AWS account. Con un Amazon VPC, puoi controllare l’accesso alla rete e la connettività Internet di Studio e delle istanze del notebook. Per aggiungere un ulteriore livello di sicurezza, puoi disabilitare l’accesso diretto a Internet.
Gli argomenti seguenti descrivono come connettere le istanze del notebook e le istanze di Studio alle risorse in un VPC.
**Topics**
+ [Connect Amazon SageMaker Studio in un VPC a risorse esterne](studio-updated-and-internet-access.md)
+ [Connessione dei notebook Studio in un VPC a risorse esterne](studio-notebooks-and-internet-access.md)
+ [Connessione di un'istanza del notebook in un VPC a risorse esterne](appendix-notebook-and-internet-access.md)
# Connect Amazon SageMaker Studio in un VPC a risorse esterne
**Importante**
A partire dal 30 novembre 2023, la precedente esperienza Amazon SageMaker Studio è ora denominata Amazon SageMaker Studio Classic. La sezione seguente è specifica per l’utilizzo dell’esperienza Studio aggiornata. Per informazioni sull’utilizzo dell’applicazione Studio Classic, consulta [Amazon SageMaker Studio Classic](studio.md).
Il seguente argomento fornisce informazioni su come connettere Amazon SageMaker Studio in un VPC a risorse esterne.
**Topics**
+ [Comunicazione predefinita con Internet](#studio-notebooks-and-internet-access-default-setting)
+ [Comunicazione `VPC only` con Internet](#studio-notebooks-and-internet-access-vpc-only)
## Comunicazione predefinita con Internet
Per impostazione predefinita, Amazon SageMaker Studio fornisce un'interfaccia di rete che consente la comunicazione con Internet tramite un VPC gestito dall' SageMaker intelligenza artificiale. Il traffico verso AWS servizi come Amazon S3 CloudWatch passa attraverso un gateway Internet, così come il traffico che accede all'API SageMaker AI e SageMaker al runtime AI. Il traffico tra il dominio e il volume Amazon EFS passa attraverso il VPC che hai specificato quando hai effettuato l'onboarding sul dominio o hai chiamato l'API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## Comunicazione `VPC only` con Internet
Per impedire all' SageMaker IA di fornire l'accesso a Internet a Studio, puoi disabilitare l'accesso a Internet specificando il tipo di accesso alla `VPC only` rete quando effettui l'accesso [a Studio o chiami](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) l'API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Di conseguenza, non sarai in grado di eseguire Studio a meno che il tuo VPC non disponga di un endpoint di interfaccia per l' SageMaker API e il runtime o di un gateway NAT con accesso a Internet e i tuoi gruppi di sicurezza consentano le connessioni in uscita.
**Nota**
Il tipo di accesso alla rete può essere modificato dopo la creazione del dominio utilizzando il parametro `--app-network-access-type` del comando [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html).
### Requisiti per l'utilizzo della modalità `VPC only`
Quando scegli `VpcOnly`, segui queste fasi:
1. Puoi utilizzare solo sottoreti private. Non puoi utilizzare sottoreti pubbliche nella modalità `VpcOnly`.
1. Assicurati che le tue sottoreti abbiano il numero richiesto di indirizzi IP necessari. Il numero previsto di indirizzi IP necessari per utente può variare in base al caso d'uso. Consigliamo tra 2 e 4 indirizzi IP per utente. La capacità totale degli indirizzi IP per un dominio è la somma degli indirizzi IP disponibili per ogni sottorete fornita al momento della creazione del dominio. Assicurati che l'utilizzo stimato dell'indirizzo IP non superi la capacità supportata dal numero di sottoreti che fornisci. Inoltre, l'utilizzo di sottoreti distribuite su molte zone di disponibilità può favorire la disponibilità degli indirizzi IP. Per ulteriori informazioni, consulta il dimensionamento di [VPC e sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) per. IPv4
**Nota**
È possibile configurare solo le sottoreti con un VPC con tenancy predefinita in cui l'istanza viene eseguita su hardware condiviso. [Per ulteriori informazioni sull'attributo tenancy per VPCs, consulta Dedicated Instances.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**avvertimento**
Quando utilizzi la modalità `VpcOnly`, sei in parte proprietario della configurazione di rete per il dominio. Come best practice per la sicurezza, consigliamo di applicare le autorizzazioni con privilegi minimi all'accesso in entrata e in uscita fornito dalle regole del gruppo di sicurezza. Configurazioni di regole in entrata eccessivamente permissive potrebbero consentire agli utenti con accesso al VPC di interagire con le applicazioni di altri profili utente senza autenticazione.
Configura uno o più gruppi di sicurezza con regole in entrata e in uscita che consentano il seguente traffico:
+ [Traffico NFS su TCP sulla porta 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) tra il dominio e il volume Amazon EFS.
+ [Traffico TCP all'interno del gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Questa configurazione è richiesta per la connettività tra l'applicazione Jupyter Server e le applicazioni Kernel Gateway. Devi consentire l'accesso ad almeno le porte dell'intervallo `8192-65535`.
Crea un gruppo di sicurezza distinto per ogni profilo utente e aggiungi l'accesso in entrata dallo stesso gruppo di sicurezza. Si consiglia di non riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l'accesso in entrata a se stesso, tutte le applicazioni del dominio avranno accesso a tutte le altre applicazioni del dominio.
1. Se desideri consentire l'accesso a Internet, devi utilizzare un [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) con accesso a Internet, ad esempio tramite un [gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Se non desideri consentire l'accesso a Internet, [crea endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink) per consentire a Studio di accedere ai seguenti servizi con i nomi di servizio corrispondenti. Devi inoltre associare i gruppi di sicurezza per il tuo VPC a questi endpoint.
+ SageMaker API:. `com.amazonaws.region.sagemaker.api`
+ SageMaker Runtime AI:`com.amazonaws.region.sagemaker.runtime`. Obbligatorio per eseguire le invocazioni degli endpoint.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker Progetti:`com.amazonaws.region.servicecatalog`.
+ SageMaker Studio:`aws.sagemaker.region.studio`.
+ Qualsiasi altro AWS servizio richiesto.
Se utilizzi [SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) per eseguire lavori di formazione remoti, devi anche creare i seguenti endpoint Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Ciò è necessario per consentire a SageMaker Python SDK di ottenere lo stato del lavoro di formazione remota da. Amazon CloudWatch
1. Se utilizzi il dominio in modalità `VpcOnly` da una rete on-premises, stabilisci la connettività privata dalla rete dell’host che esegue Studio nel browser e nell’Amazon VPC di destinazione. Ciò è necessario perché l'interfaccia utente di Studio richiama gli AWS endpoint utilizzando chiamate API con credenziali temporanee. AWS Queste credenziali temporanee sono associate al ruolo di esecuzione del profilo utente registrato. Se il dominio è configurato in `VpcOnly` modalità in una rete locale, il ruolo di esecuzione potrebbe definire condizioni di policy IAM che impongono l'esecuzione delle chiamate API di AWS servizio solo tramite gli endpoint Amazon VPC configurati. Ciò causa l'esito negativo delle chiamate API eseguite dall'interfaccia utente di Studio. Consigliamo di risolvere il problema utilizzando una connessione [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) o [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
**Nota**
Per i clienti che lavorano in modalità VPC, i firewall aziendali possono causare problemi di connessione con Studio o con le applicazioni. Effettua i seguenti controlli se riscontri uno di questi problemi quando utilizzi Studio con un firewall.
Verifica che l'URL di Studio e URLs per tutte le tue applicazioni siano nella lista consentita della tua rete. Esempio:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Verifica che le connessioni websocket non siano bloccate. Jupyter utilizza websocket.
**Ulteriori informazioni**
+ [Gruppi di sicurezza per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md)
+ [VPC con sottoreti pubbliche e private - NAT](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Connessione dei notebook Studio in un VPC a risorse esterne
L’argomento seguente fornisce informazioni su come connettere i notebook Studio in un VPC a risorse esterne.
## Comunicazione predefinita con Internet
Per impostazione predefinita, SageMaker Studio fornisce un'interfaccia di rete che consente la comunicazione con Internet tramite un VPC gestito dall' SageMaker intelligenza artificiale. Il traffico verso AWS servizi, come Amazon S3 e CloudWatch, passa attraverso un gateway Internet. Il traffico che accede all' SageMaker API e al runtime SageMaker AI passa anche attraverso un gateway Internet. Il traffico tra il dominio e il volume Amazon EFS passa attraverso il VPC che hai identificato quando hai effettuato l'onboarding su Studio o hai chiamato l'API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Il seguente diagramma mostra la configurazione predefinita.
![\[SageMaker Diagramma VPC di Studio che illustra l'utilizzo diretto dell'accesso a Internet.\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## Comunicazione `VPC only` con Internet
Per impedire all' SageMaker intelligenza artificiale di fornire l'accesso a Internet ai notebook Studio, disabilita l'accesso a Internet specificando il tipo di accesso alla rete. `VPC only` Specificate questo tipo di accesso alla rete quando effettuate l'accesso [a Studio o chiamate](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) l'API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) Dopo una operazione, non sarai in grado di eseguire un notebook Studio a meno che:
+ il tuo VPC ha un endpoint di interfaccia per l' SageMaker API e il runtime o un gateway NAT con accesso a Internet
+ i tuoi gruppi di sicurezza non consentano le connessioni in uscita
Il seguente diagramma mostra una configurazione per l'utilizzo della modalità solo VPC.
![\[SageMaker Diagramma VPC di Studio che illustra l'utilizzo della modalità solo VPC.\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Requisiti per l'utilizzo della modalità `VPC only`
Quando scegli `VpcOnly`, segui queste fasi:
1. Puoi utilizzare solo sottoreti private. Non puoi utilizzare sottoreti pubbliche nella modalità `VpcOnly`.
1. Assicurati che le tue sottoreti abbiano il numero richiesto di indirizzi IP necessari. Il numero previsto di indirizzi IP necessari per utente può variare in base al caso d'uso. Consigliamo tra 2 e 4 indirizzi IP per utente. La capacità totale degli indirizzi IP per un dominio Studio è la somma degli indirizzi IP disponibili per ogni sottorete fornita al momento della creazione del dominio. Assicurati che l’utilizzo dell’indirizzo IP non superi la capacità supportata dal numero di sottoreti che fornisci. Inoltre, l’utilizzo di sottoreti distribuite su molte zone di disponibilità può favorire la disponibilità degli indirizzi IP. Per ulteriori informazioni, consulta il dimensionamento di [VPC e sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) per. IPv4
**Nota**
È possibile configurare solo le sottoreti con un VPC con tenancy predefinita in cui l'istanza viene eseguita su hardware condiviso. [Per ulteriori informazioni sull'attributo tenancy per VPCs, consulta Dedicated Instances.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
1.
**avvertimento**
Quando utilizzi la modalità `VpcOnly`, sei in parte proprietario della configurazione di rete per il dominio. Come best practice per la sicurezza, consigliamo di applicare le autorizzazioni con privilegi minimi all'accesso in entrata e in uscita fornito dalle regole del gruppo di sicurezza. Configurazioni di regole in entrata eccessivamente permissive potrebbero consentire agli utenti con accesso al VPC di interagire con le applicazioni di altri profili utente senza autenticazione.
Configura uno o più gruppi di sicurezza con regole in entrata e in uscita che consentano il seguente traffico:
+ [Traffico NFS su TCP sulla porta 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) tra il dominio e il volume Amazon EFS.
+ [Traffico TCP all'interno del gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Questa configurazione è richiesta per la connettività tra l'applicazione Jupyter Server e le applicazioni Kernel Gateway. Devi consentire l'accesso ad almeno le porte dell'intervallo `8192-65535`.
Crea un gruppo di sicurezza distinto per ogni profilo utente e aggiungi l'accesso in entrata dallo stesso gruppo di sicurezza. Si consiglia di non riutilizzare un gruppo di sicurezza a livello di dominio per i profili utente. Se il gruppo di sicurezza a livello di dominio consente l’accesso in entrata a se stesso, tutte le applicazioni del dominio avranno accesso a tutte le altre applicazioni del dominio.
1. Se desideri consentire l'accesso a Internet, è necessario utilizzare un [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) con accesso a Internet, ad esempio tramite un [gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Per rimuovere l'accesso a Internet, [crea endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) per consentire a Studio di accedere ai seguenti servizi con i nomi di servizio corrispondenti. Devi inoltre associare i gruppi di sicurezza per il tuo VPC a questi endpoint.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker Runtime AI:`com.amazonaws.region.sagemaker.runtime`. Questo nome del servizio è richiesto per eseguire i notebook Studio e per addestrare e ospitare modelli.
+ Amazon S3: `com.amazonaws.region.s3`.
+ Per utilizzare SageMaker Projects:`com.amazonaws.region.servicecatalog`.
+ Eventuali altri AWS servizi di cui hai bisogno.
Se utilizzi [SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable/) per eseguire lavori di formazione remoti, devi anche creare i seguenti endpoint Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:. `com.amazonaws.region.logs` Ciò è necessario per consentire a SageMaker Python SDK di ottenere lo stato del lavoro di formazione remota da. Amazon CloudWatch
**Nota**
Per un cliente che lavora in modalità VPC, i firewall aziendali possono causare problemi di connessione con SageMaker Studio o tra e JupyterServer . KernelGateway Effettua i seguenti controlli se riscontri uno di questi problemi quando usi SageMaker Studio da dietro un firewall.
Verifica che l'URL di Studio sia nella lista consentita della tua rete.
Verifica che le connessioni websocket non siano bloccate. Jupyter utilizza websocket dietro le quinte. Se l' KernelGateway applicazione lo è InService, JupyterServer potrebbe non essere possibile connettersi a KernelGateway. Il problema dovrebbe presentarsi anche all'apertura del Terminale di sistema.
**Ulteriori informazioni**
+ [Protezione della connettività Amazon SageMaker Studio utilizzando un VPC privato.](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc)
+ [Gruppi di sicurezza per il VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md)
+ [VPC con sottoreti pubbliche e private - NAT](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Connessione di un'istanza del notebook in un VPC a risorse esterne
Il seguente argomento fornisce informazioni su come connettere l'istanza del notebook in un VPC a risorse esterne.
## Comunicazione predefinita con Internet
Quando il notebook consente *l'accesso diretto a Internet, l'* SageMaker intelligenza artificiale fornisce un'interfaccia di rete che consente al notebook di comunicare con Internet tramite un VPC gestito dall' SageMaker IA. Il traffico all'interno del CIDR del tuo VPC passerà attraverso l'interfaccia di rete elastica creata nel tuo VPC. Tutto il resto del traffico passa attraverso l'interfaccia di rete creata dall' SageMaker intelligenza artificiale, che avviene essenzialmente attraverso la rete Internet pubblica. Il traffico verso gli endpoint VPC del gateway come Amazon S3 e DynamoDB passerà attraverso la rete Internet pubblica, mentre il traffico verso gli endpoint VPC di interfaccia continuerà a passare attraverso il tuo VPC. Se desideri utilizzare gli endpoint VPC del gateway, puoi disattivare l'accesso diretto a Internet.
## Comunicazione solo VPC con Internet
Per disabilitare l'accesso diretto a Internet, puoi specificare un VPC per l'istanza del notebook. In questo modo, impedisci all' SageMaker IA di fornire l'accesso a Internet all'istanza del tuo notebook. Come risultato, l'istanza del notebook non sarà in grado di eseguire l'addestramento dei modelli né ospitarli, a meno che il tuo VPC non disponga di un endpoint di interfaccia (AWS PrivateLink) o un gateway NAT e i gruppi di sicurezza consentano connessioni in uscita.
Per informazioni sulla creazione di un endpoint di interfaccia VPC da utilizzare AWS PrivateLink per l'istanza del notebook, vedere. [Connessione a un'istanza del notebook tramite un endpoint VPC di interfaccia](notebook-interface-endpoint.md) Per informazioni sulla configurazione di un gateway NAT per il tuo VPC, consulta [VPC con sottoreti pubbliche e private (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*. Per informazioni sui gruppi di sicurezza, consulta [Gruppi di sicurezza per il VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Per ulteriori informazioni sulle configurazioni di rete in ciascuna modalità di rete e sulla configurazione della rete in locale, consulta Comprendere le [configurazioni di rete delle istanze di SageMaker notebook Amazon e le opzioni di routing avanzate](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/).
**avvertimento**
Quando utilizzi un VPC per l’istanza del notebook, possiedi in parte la configurazione di rete per l’istanza. Come best practice per la sicurezza, consigliamo di applicare le autorizzazioni con privilegio minimo all’accesso in entrata e in uscita concesso con le regole del gruppo di sicurezza. Se applichi configurazioni delle regole in entrata eccessivamente permissive, gli utenti che hanno accesso al tuo VPC potrebbero accedere ai tuoi notebook Jupyter senza autenticarsi.
## Sicurezza e istanze del notebook condivise
Un'istanza SageMaker notebook è progettata per funzionare al meglio per un singolo utente. È progettata per offrire ai data scientist e ad altri utenti più potere per la gestione del proprio ambiente di sviluppo.
Un utente di istanza del notebook dispone di accesso root per l'installazione di pacchetti e altri software pertinenti. Ti consigliamo di prestare attenzione quando concedi agli utenti l'accesso alle istanze del notebook che sono collegate a un VPC che contiene informazioni sensibili. Ad esempio, puoi concedere a un utente l’accesso a un’istanza del notebook con una policy IAM consentendogli di creare un URL del notebook prefirmato, come mostrato nell’esempio seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------
# Esecuzione di container di addestramento e inferenza in modalità Internet-Free
SageMaker La formazione sull'intelligenza artificiale e i contenitori di inferenza implementati sono abilitati a Internet per impostazione predefinita. Questo consente ai container di accedere ai servizi esterni e alle risorse sulla rete Internet pubblica come parte dei carichi di lavoro di addestramento e inferenza. Tuttavia, questo potrebbe fornire anche un'altra via all'accesso non autorizzato ai dati. Ad esempio, un utente malintenzionato o il codice installato accidentalmente nel container (sotto forma di una libreria di codice sorgente disponibile pubblicamente) possono accedere ai dati e trasferirli a un host remoto.
Se utilizzi un Amazon VPC specificando un valore per il parametro `VpcConfig` quando chiami [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) o [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), puoi proteggere i dati e le risorse gestendo i gruppi di sicurezza e limitando l'accesso a Internet dal tuo VPC. Tuttavia, questo comporta una configurazione di rete aggiuntiva, con conseguenti rischi di errore. Se non desideri che l' SageMaker intelligenza artificiale fornisca l'accesso alla rete esterna ai tuoi contenitori di formazione o inferenza, puoi abilitare l'isolamento della rete.
## Isolamento di rete
Puoi abilitare l'isolamento di rete quando crei il processo di addestramento o il modello impostando il valore del parametro `EnableNetworkIsolation` su `True` quando chiami [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) o [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
**Nota**
L'isolamento di rete è richiesto per l'esecuzione di processi di addestramento e modelli utilizzando le risorse da Marketplace AWS. Per una maggiore sicurezza, Marketplace AWS le immagini vengono eseguite all'interno di un Amazon VPC. Hanno accesso solo ai dati all’interno dei loro file system locali.
Quando abiliti l'isolamento della rete, i contenitori di addestramento e inferenza non possono effettuare chiamate di rete in uscita verso nessun servizio, incluso Amazon S3. Nessuna AWS credenziale viene resa disponibile per l'ambiente di runtime del contenitore. Per i lavori di formazione con più istanze, il traffico di rete in entrata e in uscita è limitato alla comunicazione tra i peer del contenitore di formazione.
SageMaker L'intelligenza artificiale gestisce ancora tutte le operazioni di download e upload necessarie di Amazon S3 utilizzando il tuo ruolo di esecuzione SageMaker AI. Ciò avviene indipendentemente dai contenitori di addestramento e inferenza, garantendo che i dati di addestramento e gli artefatti del modello siano ancora accessibili, pur mantenendo l'isolamento del contenitore.
I seguenti contenitori SageMaker AI gestiti non supportano l'isolamento della rete perché richiedono l'accesso ad Amazon S3:
+ Chainer
+ SageMaker Apprendimento rinforzato dall'IA
### Isolamento di rete con un VPC
L'isolamento di rete può essere utilizzato in combinazione con un VPC. In questo scenario, le operazioni di scaricamento e caricamento dei dati del cliente e degli artefatti del modello vengono instradate tramite la sottorete VPC. Tuttavia, i container di addestramento e inferenza stessi continuano a essere isolati dalla rete e non dispongono dell'accesso ad alcuna risorsa all'interno del VPC o su Internet.
# Connettiti all' SageMaker IA all'interno del tuo VPC
Puoi connetterti direttamente all' SageMaker API o ad Amazon SageMaker Runtime tramite un [endpoint di interfaccia](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) nel tuo cloud privato virtuale (VPC) invece di connetterti tramite Internet. Quando utilizzi un endpoint di interfaccia VPC, la comunicazione tra il tuo VPC e l'API SageMaker AI o Runtime viene condotta in modo completo e sicuro all'interno di una rete. AWS
## Connect all' SageMaker AI tramite un endpoint con interfaccia VPC
L' SageMaker API e SageMaker AI Runtime supportano gli endpoint di interfaccia [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) basati su. [AWS PrivateLink](https://aws.amazon.com/privatelink) Ogni endpoint VPC è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con indirizzi IP privati nelle sottoreti del tuo VPC. Ad esempio, un'applicazione all'interno del tuo VPC comunica con SageMaker AI Runtime. AWS PrivateLink SageMaker AI Runtime a sua volta comunica con l'endpoint SageMaker AI. L'utilizzo ti AWS PrivateLink consente di richiamare il tuo endpoint SageMaker AI dall'interno del tuo VPC, come mostrato nel diagramma seguente.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-SM.png)
L'endpoint dell'interfaccia VPC collega il tuo VPC direttamente all' SageMaker API o al Runtime SageMaker AI AWS PrivateLink senza utilizzare un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Non è necessario che le istanze del tuo VPC si connettano alla rete Internet pubblica per comunicare con l'API SageMaker o SageMaker l'AI Runtime.
Puoi creare un endpoint di AWS PrivateLink interfaccia per connetterti ad SageMaker AI o ad SageMaker AI Runtime utilizzando Console di gestione AWS o AWS Command Line Interface ().AWS CLI Per istruzioni, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint).
Se non hai abilitato un nome host DNS (Domain Name System) privato per il tuo endpoint VPC, *dopo aver creato un endpoint VPC, specifica l'URL dell'endpoint* Internet per l'API o AI Runtime. SageMaker SageMaker Segue un esempio di codice che utilizza AWS CLI i comandi per specificare il parametro. `endpoint-url`
```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Se abiliti i nomi host DNS privati per il tuo endpoint VPC, non è necessario specificare l'URL dell'endpoint perché è il nome host predefinito (https://api.sagemaker). *Region*.amazon.com) si risolve nel tuo endpoint VPC. Analogamente, il nome host DNS predefinito SageMaker di AI Runtime (https://runtime.sagemaker. *Region*.amazonaws.com) si risolve anche sul tuo endpoint VPC.
[L' SageMaker API e SageMaker AI Runtime supportano gli endpoint VPC ovunque siano disponibili Regioni AWS sia Amazon [VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) che AI. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) SageMaker L'intelligenza artificiale supporta le chiamate verso tutti i suoi dispositivi [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)all'interno del tuo VPC. Se utilizzi `AuthorizedUrl` dal comando [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html), il traffico passerà tramite la rete Internet pubblica. Non puoi utilizzare solo un endpoint VPC per accedere all’URL prefirmato, perché la richiesta deve passare attraverso il gateway Internet.
Per impostazione predefinita, gli utenti possono condividere l’URL prefirmato con persone esterne alla rete aziendale. Per una maggiore sicurezza, è necessario aggiungere le autorizzazioni IAM per limitare l’utilizzo dell’URL solo all’interno della tua rete. Per informazioni sulle autorizzazioni IAM, consulta [How AWS PrivateLink works with](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html) IAM.
**Nota**
Quando si configura un endpoint di interfaccia VPC per il servizio SageMaker AI Runtime (https://runtime.sagemaker. `Region`.amazonaws.com), devi assicurarti che l'endpoint dell'interfaccia VPC sia attivato nella zona di disponibilità del tuo client affinché la risoluzione DNS privata funzioni. Altrimenti, potresti riscontrare errori DNS durante il tentativo di risolvere l'URL.
[Per ulteriori informazioni, consulta la documentazione. AWS PrivateLinkAWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Fai riferimento a [Prezzi di AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/) per il prezzo di endpoint VPC. Per ulteriori informazioni su VPC ed endpoint, consulta [Amazon VPC](https://aws.amazon.com/vpc/). Per informazioni su come utilizzare le AWS Identity and Access Management policy basate sull'identità per limitare l'accesso all' SageMaker API e all' SageMaker AI Runtime, consulta. [Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità](security_iam_id-based-policy-examples.md#api-access-policy)
## Utilizzo della SageMaker formazione e dell'hosting con risorse all'interno del tuo VPC
SageMaker L'intelligenza artificiale utilizza il tuo ruolo di esecuzione per scaricare e caricare informazioni da un bucket Amazon S3 e Amazon Elastic Container Registry (Amazon ECR), indipendentemente dal tuo contenitore di addestramento o inferenza. Se disponi di risorse che si trovano all'interno del tuo VPC, puoi comunque concedere all' SageMaker IA l'accesso a tali risorse. Le sezioni seguenti spiegano come rendere le risorse disponibili all' SageMaker IA con o senza isolamento della rete.
### Senza isolamento di rete abilitato
Se non hai impostato l'isolamento della rete nel tuo lavoro o modello di formazione, l' SageMaker IA può accedere alle risorse utilizzando uno dei seguenti metodi.
+ SageMaker i contenitori di formazione e di inferenza distribuiti possono accedere a Internet per impostazione predefinita. SageMaker I container di intelligenza artificiale sono in grado di accedere a servizi e risorse esterne sulla rete Internet pubblica come parte dei carichi di lavoro di formazione e inferenza. SageMaker I container AI non sono in grado di accedere alle risorse all'interno del tuo VPC senza una configurazione VPC, come mostrato nella figura seguente.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Utilizza la configurazione di un VPC per comunicare con le risorse presenti all'interno del tuo VPC tramite un'interfaccia di rete elastica (ENI). La comunicazione tra il container e le risorse del tuo VPC avviene in modo sicuro all'interno della tua rete VPC, come mostrato nella figura seguente. In questo caso, gestisci l'accesso in rete alle risorse del tuo VPC e a Internet.
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-vpc-config.png)
### Con isolamento di rete
Se utilizzi l'isolamento della rete, il contenitore SageMaker AI non può comunicare con le risorse all'interno del tuo VPC o effettuare chiamate di rete, come mostrato nella figura seguente. Se fornisci la configurazione di un VPC, le operazioni di scaricamento e caricamento verranno eseguite tramite il tuo VPC. Per ulteriori informazioni sull'hosting e sull'addestramento con isolamento di rete durante l'utilizzo di un VPC, consulta [Isolamento di rete](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation).
![\[\]](http://docs.aws.amazon.com/it_it/sagemaker/latest/dg/images/security-network-isolation-no-config.png)
## Crea una policy sugli endpoint VPC per l'IA SageMaker
Puoi creare una policy per gli endpoint Amazon VPC per l' SageMaker intelligenza artificiale per specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.
**Nota**
Le policy degli endpoint VPC non sono supportate per gli endpoint di runtime SageMaker AI del Federal Information Processing Standard (FIPS) per. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
Il seguente esempio di politica degli endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint dell'interfaccia VPC possono richiamare l'endpoint ospitato dall'IA denominato. SageMaker `myEndpoint`
```
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}
```
In questo esempio, viene rifiutato quanto segue:
+ Altre SageMaker azioni API, come e. `sagemaker:CreateEndpoint` `sagemaker:CreateTrainingJob`
+ Invocare endpoint ospitati da SageMaker AI diversi da. `myEndpoint`
**Nota**
In questo esempio, gli utenti possono comunque eseguire altre azioni SageMaker API dall'esterno del VPC. Per informazioni su come limitare chiamate API per gli utenti interni al VPC, consulta [Controlla l'accesso all'API SageMaker AI utilizzando politiche basate sull'identità](security_iam_id-based-policy-examples.md#api-access-policy).
## Crea una policy sugli endpoint VPC per Amazon Feature Store SageMaker
Per creare un endpoint VPC per Amazon SageMaker Feature Store, utilizza il seguente modello di endpoint, sostituendo il tuo e: *VPC\$1Endpoint\$1ID.api* *Region*
`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`
# Connettiti ad Amazon SageMaker Studio e Studio Classic tramite un'interfaccia VPC Endpoint
Puoi connetterti ad Amazon SageMaker Studio e Amazon SageMaker Studio Classic dal tuo [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (Amazon VPC) tramite un [endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) nel tuo VPC anziché collegarti a Internet. Quando utilizzi un endpoint VPC di interfaccia (endpoint di interfaccia), la comunicazione tra il tuo VPC e Studio o Studio Classic viene condotta in modo completo e sicuro all'interno della rete. AWS
Studio e Studio Classic supportano gli endpoint di interfaccia che utilizzano la tecnologia [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html). Ogni endpoint di interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con indirizzi IP privati nelle sottoreti del tuo VPC.
Studio e Studio Classic supportano gli endpoint di interfaccia in tutte le AWS regioni in cui sono [disponibili sia Amazon SageMaker AI](https://aws.amazon.com/sagemaker/pricing/) che [Amazon VPC](https://aws.amazon.com/vpc/pricing/).
**Topics**
+ [Creare un endpoint VPC](#studio-interface-endpoint-create)
+ [Creazione di una policy degli endpoint VPC per Studio o Studio Classic](#studio-private-link-policy)
+ [Autorizzazione dell'accesso solo dall'interno del tuo VPC](#studio-private-link-restrict)
## Creare un endpoint VPC
Puoi creare un endpoint di interfaccia per connetterti a Studio o Studio Classic con la AWS console o (). AWS Command Line Interface AWS CLI Per le istruzioni, consulta [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Assicurati di creare un endpoint di interfaccia per tutte le sottoreti nel tuo VPC da cui desideri connetterti a Studio o Studio Classic.
Quando crei un endpoint di interfaccia, assicurati che i gruppi di sicurezza sull’endpoint consentano l’accesso in entrata per il traffico HTTPS dai gruppi di sicurezza associati a Studio e Studio Classic. Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Nota**
Oltre a creare un endpoint di interfaccia per la connessione a Studio e Studio Classic, crea un endpoint di interfaccia per la connessione all'API Amazon SageMaker . Quando gli utenti chiamano [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)per ottenere l'URL per connettersi a Studio e Studio Classic, la chiamata passa attraverso l'endpoint di interfaccia utilizzato per connettersi all'API. SageMaker
Quando crei l’endpoint di interfaccia, specifica **aws.sagemaker.*Region*.studio** come nome del servizio per Studio o Studio Classic. Dopo aver creato un endpoint di interfaccia, abilita il DNS privato per il tuo endpoint. Quando ti connetti a Studio o Studio Classic dall'interno del VPC utilizzando l' SageMaker API, la o la console AWS CLI, ti connetti tramite l'endpoint dell'interfaccia anziché la rete Internet pubblica. È inoltre necessario configurare un DNS personalizzato con zone ospitate private per l'endpoint Amazon VPC in modo che Studio o Studio Classic possano accedere all'API utilizzando SageMaker l'endpoint anziché `api.sagemaker.$region.amazonaws.com` l'URL dell'endpoint VPC. Per istruzioni sulla configurazione di una zona ospitata privata, consulta [Utilizzo delle zone ospitate private](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html).
## Creazione di una policy degli endpoint VPC per Studio o Studio Classic
Puoi collegare una policy degli endpoint Amazon VPC agli endpoint VPC di interfaccia che utilizzi per connetterti a Studio o Studio Classic. La policy degli endpoint controlla l’accesso a Studio o Studio Classic. Puoi specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per utilizzare un endpoint VPC con Studio o Studio Classic, la policy dell'endpoint deve consentire il `CreateApp` funzionamento sul tipo di app. KernelGateway Ciò consente al traffico indirizzato attraverso l'endpoint VPC di chiamare l'API `CreateApp`. Il seguente esempio di policy di endpoint VPC mostra come consentire l'operazione `CreateApp`.
```
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}
```
Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Il seguente esempio di policy per gli endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere ai profili utente nel dominio SageMaker AI con l'ID di dominio specificato. L'accesso ad altri domini viene negato.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}
```
## Autorizzazione dell'accesso solo dall'interno del tuo VPC
Gli utenti esterni al tuo VPC possono connettersi a Studio o Studio Classic tramite Internet anche se configuri un endpoint di interfaccia nel tuo VPC.
Per consentire l'accesso solo alle connessioni effettuate dall'interno del tuo VPC, crea una policy AWS Identity and Access Management (IAM) in tal senso. Aggiungi la policy a ogni utente, gruppo o ruolo utilizzato per accedere a Studio o Studio Classic. Questa funzionalità è supportata solo con l’autenticazione in modalità IAM, non in modalità Centro identità IAM. I seguenti esempi illustrano come creare tali policy.
**Importante**
Se applichi una policy IAM simile a uno degli esempi seguenti, gli utenti non possono accedere a Studio o Studio Classic o a quanto specificato SageMaker APIs tramite la console AI. SageMaker Per accedere a Studio o Studio Classic, gli utenti devono utilizzare un URL predefinito o SageMaker APIs chiamarlo direttamente.
**Esempio 1: consenti le connessioni solo all'interno della sottorete di un endpoint di interfaccia**
La seguente policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
**Esempio 2: consenti le connessioni solo tramite gli endpoint di interfaccia utilizzando `aws:sourceVpce`**
La seguente policy consente le connessioni solo a quelle effettuate tramite gli endpoint di interfaccia specificati dalla chiave di condizione `aws:sourceVpce`. Ad esempio, il primo endpoint di interfaccia potrebbe consentire l'accesso tramite la console SageMaker AI. Il secondo endpoint di interfaccia potrebbe consentire l'accesso tramite l' SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Questa policy include l'operazione [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html). In genere chiami `DescribeUserProfile` per assicurarti che lo stato del profilo utente sia `InService` prima di provare a connetterti al dominio. Esempio:
```
aws sagemaker describe-user-profile \
--domain-id domain-id \
--user-profile-name profile-name
```
Risposta:
```
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}
```
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name
```
Risposta:
```
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}
```
Per entrambe queste chiamate, se utilizzi una versione dell' AWS SDK rilasciata prima del 13 agosto 2018, devi specificare l'URL dell'endpoint nella chiamata. Ad esempio, il seguente esempio mostra una chiamata a `create-presigned-domain-url`:
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name \
--endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
```
**Esempio 3: consenti connessioni da indirizzi IP utilizzando `aws:SourceIp` **
La seguente policy consente le connessioni solo dall'intervallo specificato di indirizzi IP utilizzando la chiave di condizione `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Esempio 4: consenti le connessioni da indirizzi IP tramite un endpoint di interfaccia utilizzando `aws:VpcSourceIp`**
Se accedi a Studio o Studio Classic tramite un endpoint di interfaccia, puoi utilizzare la chiave di condizione `aws:VpcSourceIp` per consentire le connessioni solo dall’intervallo specificato di indirizzi IP all’interno della sottorete in cui è stato creato l’endpoint di interfaccia, come mostrato nella policy seguente:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Connessione a un server MLflow di tracciamento tramite un endpoint VPC di interfaccia
Il server di MLflow tracciamento viene eseguito in un Amazon Virtual Private Cloud gestito da Amazon SageMaker AI. Puoi connetterti a un server di MLflow tracciamento da un endpoint nel tuo VPC. Le tue richieste al server di tracciamento non sono esposte alla rete Internet pubblica. Per ulteriori informazioni sulla connessione del VPC all' SageMaker AI, consulta. [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md)
**Topics**
+ [Creare un endpoint VPC](mlflow-interface-endpoint-create.md)
+ [Crea una policy sugli endpoint VPC per l'IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Autorizzazione dell’accesso solo dall’interno del tuo VPC](mlflow-private-link-restrict.md)
# Creare un endpoint VPC
Puoi creare un endpoint di interfaccia per connetterti all' SageMaker IA. MLflow Per le istruzioni, consulta [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Assicurati di creare endpoint di interfaccia per tutte le sottoreti del tuo VPC da cui desideri connetterti all'IA. SageMaker MLflow
Quando crei un endpoint di interfaccia, assicurati che i gruppi di sicurezza sull’endpoint consentano l’accesso in entrata e in uscita per il traffico HTTPS. Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**Nota**
Oltre a creare un endpoint di interfaccia per connettersi all' SageMaker intelligenza artificiale MLflow, crea un endpoint di interfaccia per connettersi all'API Amazon SageMaker . Quando gli utenti chiamano [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)per ottenere l'URL per connettersi all' SageMaker IA MLflow, quella chiamata passa attraverso l'endpoint di interfaccia utilizzato per connettersi all'API. SageMaker
Quando crei l'endpoint di interfaccia, specifica **aws.sagemaker.*Regione AWS*.experiments** come nome del servizio. Dopo aver creato un endpoint di interfaccia, abilita il DNS privato per il tuo endpoint. Quando ti connetti all' SageMaker intelligenza artificiale MLflow dall'interno del VPC utilizzando SageMaker Python SDK, ti connetti tramite l'endpoint dell'interfaccia anziché la rete Internet pubblica.
All'interno di Console di gestione AWS, puoi utilizzare la seguente procedura per creare un endpoint.
**Come creare un endpoint**
1. Accedi alla [console di Amazon Virtual Private Cloud](https://console.aws.amazon.com/vpcconsole).
1. Passa a **Endpoint**.
1. Seleziona **Crea endpoint**.
1. (Facoltativo) In **Nome (tag)**, specifica un nome per l’endpoint.
1. Nella barra di ricerca, sotto **Servizi**, specifica **Esperimenti**.
1. Seleziona l’endpoint che stai creando.
1. In **VPC**, specifica il nome del VPC.
1. Seleziona **Crea endpoint**.
# Crea una policy sugli endpoint VPC per l'IA SageMaker MLflow
Puoi allegare una policy degli endpoint Amazon VPC agli endpoint VPC di interfaccia che usi per connetterti all'AI. SageMaker MLflow La policy degli endpoint controlla l'accesso a. MLflow È possibile specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Controllo dell'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
Il seguente esempio di policy per gli endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere al server di MLflow tracciamento specificato. L’accesso ad altri server di tracciamento viene rifiutato.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Regione AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Autorizzazione dell’accesso solo dall’interno del tuo VPC
Gli utenti esterni al tuo VPC possono connettersi all' SageMaker IA MLflow o tramite Internet anche se configuri un endpoint di interfaccia nel tuo VPC.
Per consentire l'accesso solo alle connessioni effettuate dall'interno del tuo VPC, crea una policy AWS Identity and Access Management (IAM) in tal senso. Aggiungi questa policy a ogni utente, gruppo o ruolo utilizzato per accedere all'IA. SageMaker MLflow Questa funzionalità è supportata solo con l’autenticazione in modalità IAM, non in modalità Centro identità IAM. I seguenti esempi illustrano come creare tali policy.
**Importante**
Se applichi una policy IAM simile a uno dei seguenti esempi, gli utenti non possono accedere all' SageMaker IA MLflow tramite quanto specificato SageMaker APIs tramite la console SageMaker AI. Per accedere all' SageMaker IA MLflow, gli utenti devono utilizzare un URL predefinito o SageMaker APIs chiamarlo direttamente.
**Esempio 1: consenti le connessioni solo all'interno della sottorete di un endpoint di interfaccia**
La seguente policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Esempio 2: consenti le connessioni solo tramite gli endpoint di interfaccia utilizzando `aws:sourceVpce`**
La seguente policy consente le connessioni solo a quelle effettuate tramite gli endpoint di interfaccia specificati dalla chiave di condizione `aws:sourceVpce`. Ad esempio, il primo endpoint di interfaccia potrebbe consentire l'accesso tramite la console SageMaker AI. Il secondo endpoint di interfaccia potrebbe consentire l'accesso tramite l' SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Esempio 3: consenti connessioni da indirizzi IP utilizzando `aws:SourceIp` **
La seguente policy consente le connessioni solo dall'intervallo specificato di indirizzi IP utilizzando la chiave di condizione `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Esempio 4: consenti le connessioni da indirizzi IP tramite un endpoint di interfaccia utilizzando `aws:VpcSourceIp`**
Se accedi all' SageMaker IA MLflow tramite un endpoint di interfaccia, puoi utilizzare la chiave `aws:VpcSourceIp` condition per consentire le connessioni solo dall'intervallo specificato di indirizzi IP all'interno della sottorete in cui è stato creato l'endpoint di interfaccia, come mostrato nella seguente politica:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Connessione a un'istanza del notebook tramite un endpoint VPC di interfaccia
Puoi connetterti all'istanza del notebook dal tuo VPC tramite un [endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nel cloud privato virtuale (VPC) invece di connetterti tramite la rete Internet pubblica. Quando utilizzi un endpoint VPC di interfaccia, la comunicazione tra il tuo VPC e l'istanza del notebook avviene interamente e in modo sicuro all'interno della rete AWS .
SageMaker le istanze notebook supportano gli endpoint di interfaccia [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) alimentati da. [AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Ogni endpoint VPC è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) con indirizzi IP privati nelle sottoreti del tuo VPC.
**Nota**
Prima di creare un endpoint VPC di interfaccia per la connessione a un'istanza notebook, crea un endpoint VPC di interfaccia per connetterti all'API. SageMaker In questo modo, quando gli utenti chiamano [
CreatePresignedNotebookInstanceUrl](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) per ottenere l'URL per connettersi all'istanza del notebook, tale chiamata passa anche attraverso l'endpoint VPC di interfaccia. Per informazioni, consulta [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md).
È possibile creare un endpoint di interfaccia per connettersi all'istanza del notebook con i Console di gestione AWS comandi or (). AWS Command Line Interface AWS CLI Per le istruzioni, consulta [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint). Assicurati di creare un endpoint di interfaccia per tutte le sottoreti nel VPC da cui desideri eseguire la connessione all'istanza del notebook.
**Quando crei l'endpoint dell'interfaccia, specifica aws.sagemaker. *Region*.notebook come nome del servizio.** Dopo aver creato un endpoint VPC, abilita il DNS privato per il tuo endpoint VPC. Chiunque utilizzi l' SageMaker API AWS CLI, la o la console per connettersi all'istanza del notebook dall'interno del VPC si connette all'istanza del notebook tramite l'endpoint VPC anziché la rete Internet pubblica.
SageMaker [le istanze notebook supportano gli endpoint VPC Regioni AWS ovunque siano disponibili sia [Amazon SageMaker VPC](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) che AI.](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region)
**Topics**
+ [Connessione della rete privata al VPC](#notebook-private-link-vpn-nbi)
+ [Crea una policy sugli endpoint VPC per SageMaker le istanze AI Notebook](#nbi-private-link-policy)
+ [Limitazione dell'accesso alle connessioni dal VPC](#notebook-private-link-restrict)
## Connessione della rete privata al VPC
Per connetterti all'istanza del tuo notebook tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la tua rete privata al tuo VPC usando un () o. AWS Virtual Private Network Site-to-Site VPN Direct Connect Per informazioni su Site-to-Site VPN, consulta [Connessioni VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*. Per informazioni su AWS Direct Connect, vedere [Creazione di una connessione](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) nella *Guida per l'utente di AWS Direct Connect*.
## Crea una policy sugli endpoint VPC per SageMaker le istanze AI Notebook
Puoi creare una policy per gli endpoint Amazon VPC per le istanze di SageMaker notebook per specificare quanto segue:
+ Il principale che può eseguire azioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire operazioni.
Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l'utente di Amazon VPC*.
L'esempio seguente di una policy di endpoint VPC specifica che tutti gli utenti che hanno accesso all'endpoint possono accedere all'istanza del notebook denominata `myNotebookInstance`.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
"Principal": "*"
}
]
}
```
L'accesso ad altre istanze del notebook è rifiutato.
## Limitazione dell'accesso alle connessioni dal VPC
Anche se configuri un endpoint di interfaccia nel VPC, gli utenti esterni al VPC possono connettersi all'istanza del notebook su Internet.
**Importante**
Se applichi una policy IAM simile a una delle seguenti, gli utenti non possono accedere all'istanza specificata SageMaker APIs o all'istanza del notebook tramite la console.
Per limitare l'accesso alle sole connessioni effettuate dall'interno del VPC, crea una policy AWS Identity and Access Management che limita l'accesso alle sole chiamate provenienti dall'interno del VPC. Quindi aggiungi quella policy a ogni AWS Identity and Access Management utente, gruppo o ruolo utilizzato per accedere all'istanza del notebook.
**Nota**
Questa policy consente connessioni solo ai chiamanti all'interno di una sottorete in cui è stato creato un endpoint di interfaccia.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Se desideri limitare l'accesso all'istanza del notebook alle sole connessioni effettuate utilizzando l'endpoint di interfaccia, utilizza la chiave di condizione `aws:SourceVpce` anziché `aws:SourceVpc:`.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Entrambi questi esempi di policy presuppongono che sia stato creato anche un endpoint di interfaccia per l' SageMaker API. Per ulteriori informazioni, consulta [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md). Nel secondo esempio, uno dei valori per `aws:SourceVpce` è l'ID dell'endpoint di interfaccia per l'istanza del notebook. L'altro è l'ID dell'endpoint dell'interfaccia per l' SageMaker API.
Gli esempi di policy includono [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html), perché in genere devi chiamare `DescribeNotebookInstance` per assicurarsi che `NotebookInstanceStatus` sia `InService` prima di provare a connetterti a esso. Esempio:
```
aws sagemaker describe-notebook-instance \
--notebook-instance-name myNotebookInstance
{
"NotebookInstanceArn":
"arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
"NotebookInstanceName": "myNotebookInstance",
"NotebookInstanceStatus": "InService",
"Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
"InstanceType": "ml.m4.xlarge",
"RoleArn":
"arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
"LastModifiedTime": 1540334777.501,
"CreationTime": 1523050674.078,
"DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
{
"AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
```
**Nota**
`presigned-notebook-instance-url`, `AuthorizedUrl`, generato può essere utilizzato da qualsiasi punto di Internet.
Per entrambe queste chiamate, se non hai abilitato i nomi host DNS privati per il tuo endpoint VPC o se stai utilizzando una versione dell' AWS SDK rilasciata prima del 13 agosto 2018, devi specificare l'URL dell'endpoint nella chiamata. Ad esempio, la chiamata a `create-presigned-notebook-instance-url` è:
```
aws sagemaker create-presigned-notebook-instance-url
--notebook-instance-name myNotebookInstance --endpoint-url
VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
```
## Connessione della rete privata al VPC
Per chiamare l' SageMaker API e SageMaker AI Runtime tramite il tuo VPC, devi connetterti da un'istanza che si trova all'interno del VPC o connettere la tua rete privata al tuo VPC utilizzando un () o. AWS Virtual Private Network Site-to-Site VPN Direct Connect Per informazioni su Site-to-Site VPN, consulta [Connessioni VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*. Per informazioni su AWS Direct Connect, vedere [Creazione di una connessione](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) nella *Guida per l'utente di AWS Direct Connect*.
# Consenti all' SageMaker IA di accedere alle risorse nel tuo Amazon VPC
SageMaker L'intelligenza artificiale esegue i seguenti tipi di lavoro in un Amazon Virtual Private Cloud per impostazione predefinita.
+ Processing
+ Addestramento
+ Hosting dei modelli
+ Trasformazione in batch
+ Amazon SageMaker Clarify
+ SageMaker Compilazione AI
Tuttavia, i contenitori per questi lavori accedono a AWS risorse, come i bucket Amazon Simple Storage Service (Amazon S3) in cui archiviare dati di formazione e artefatti dei modelli, tramite Internet.
Per controllare l'accesso ai dati e ai container di processo, ti consigliamo di creare un VPC privato e configurarlo in modo che non siano accessibili su Internet. Per ulteriori informazioni sulla creazione e sulla configurazione di un VPC, consulta [Nozioni di base su Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html) nella *Guida per l'utente di Amazon VPC*. L'utilizzo di un VPC aiuta a proteggere i container di processo e i dati perché puoi configurare il tuo VPC in modo che non sia connesso a Internet. L'utilizzo di un VPC ti consente inoltre di monitorare tutto il traffico di rete in entrata e in uscita dai tuoi container di processo utilizzando i log di flusso VPC. Per ulteriori informazioni, consulta [Log di flusso VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) nella *Guida per l’utente di Amazon VPC*.
Specifica la configurazione del tuo VPC privato quando crei processi specificando sottoreti e gruppi di sicurezza. Quando specifichi le sottoreti e i gruppi di sicurezza, l' SageMaker intelligenza artificiale crea *interfacce di rete elastiche* associate ai tuoi gruppi di sicurezza in una delle sottoreti. Le interfacce di rete consentono ai container di processo di connettersi alle risorse nel tuo VPC. Per ulteriori informazioni sulle interfacce di rete, consulta [Interfacce di rete elastiche](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) nella *Guida per l'utente di Amazon VPC*.
Si specifica una configurazione VPC all'interno dell'`VpcConfig`oggetto dell'[CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)operazione o [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)dell'operazione. Se specifichi una configurazione VPC quando crei un job di addestramento, il modello può accedere alle risorse all’interno del VPC.
La sola specifica di una configurazione VPC non modifica il percorso di invocazione. Per connetterti ad Amazon SageMaker AI all'interno di un VPC, crea un endpoint VPC e richiamalo. Per ulteriori informazioni, consulta [Connettiti all' SageMaker IA all'interno del tuo VPC](interface-vpc-endpoint.md).
**Topics**
+ [Offri SageMaker ai lavori di elaborazione AI l'accesso alle risorse nel tuo Amazon VPC](process-vpc.md)
+ [Offri SageMaker ai corsi di formazione sull'intelligenza artificiale l'accesso alle risorse nel tuo Amazon VPC](train-vpc.md)
+ [Offri agli endpoint ospitati dall' SageMaker intelligenza artificiale l'accesso alle risorse nel tuo Amazon VPC](host-vpc.md)
+ [Autorizzazione dei processi di trasformazione in batch ad accedere alle risorse nel tuo Amazon VPC](batch-vpc.md)
+ [Offri ad Amazon SageMaker Clarify Jobs l'accesso alle risorse nel tuo Amazon VPC](clarify-vpc.md)
+ [Offri SageMaker ai lavori di compilazione AI l'accesso alle risorse nel tuo Amazon VPC](neo-vpc.md)
+ [Autorizzazione dei processi di raccomandazione di inferenza ad accedere alle risorse in Amazon VPC](inference-recommender-vpc-access.md)
# Offri SageMaker ai lavori di elaborazione AI l'accesso alle risorse nel tuo Amazon VPC
Per controllare l'accesso ai dati e ai processi di elaborazione, crea un Amazon VPC con sottoreti private. Per ulteriori informazioni sulla creazione e sulla configurazione di un VPC, consulta [Nozioni di base su Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) nella *Guida per l'utente di Amazon VPC*.
Puoi monitorare tutto il traffico di rete in entrata e in uscita dai container di elaborazione utilizzando i log di flusso VPC. Per ulteriori informazioni, consulta [Log di flusso VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) nella *Guida per l’utente di Amazon VPC*.
Questo documento spiega come aggiungere configurazioni di Amazon VPC per i processi di elaborazione.
## Configurazione di un processo di elaborazione per l'accesso ad Amazon VPC
È possibile configurare il processo di elaborazione specificando le sottoreti e il gruppo di sicurezza IDs all'interno del VPC. Non devi specificare la sottorete per il container di elaborazione. Amazon SageMaker AI estrae automaticamente il contenitore di elaborazione da Amazon ECR. Per ulteriori informazioni su container di elaborazione, consulta [Carichi di lavoro di trasformazione dei dati con Processing SageMaker](processing-job.md).
Quando crei un processo di elaborazione, puoi specificare sottoreti e gruppi di sicurezza nel tuo VPC utilizzando la console SageMaker AI o l'API.
Per utilizzare l'API, è necessario specificare le sottoreti e il gruppo di sicurezza IDs nel parametro dell'`NetworkConfig.VpcConfig`operazione. [ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) SageMaker L'intelligenza artificiale utilizza i dettagli della sottorete e del gruppo di sicurezza per creare le interfacce di rete e le collega ai contenitori di elaborazione. Le interfacce di rete forniscono container di elaborazione con una connessione di rete all'interno del tuo VPC. Ciò consente al processo di elaborazione di connettersi alle risorse presenti nel tuo VPC.
Di seguito viene mostrato un esempio del parametro `VpcConfig` che includi nella tua chiamata all'operazione `CreateProcessingJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configura il tuo VPC privato per l' SageMaker elaborazione AI
Quando configuri il VPC privato per i SageMaker tuoi lavori di elaborazione AI, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta [Working with VPCs and Subnet nella](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Amazon *VPC* User Guide.
**Topics**
+ [Verificare che le sottoreti abbiano abbastanza indirizzi IP](#process-vpc-ip)
+ [Creazione di un endpoint VPC Amazon S3](#process-vpc-s3)
+ [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](#process-vpc-policy)
+ [Configurare le tabelle di routing](#process-vpc-route-table)
+ [Configurare il gruppo di sicurezza di VPC](#process-vpc-groups)
+ [Connessione alle risorse al di fuori del VPC](#process-vpc-nat)
+ [Monitora i SageMaker processi di elaborazione di Amazon con CloudWatch log e metriche](#process-vpc-cloudwatch)
### Verificare che le sottoreti abbiano abbastanza indirizzi IP
Le sottoreti VPC devono disporre di almeno due indirizzi IP privati per ogni istanza in un'attività di elaborazione. Per ulteriori informazioni, consulta [VPC and Subnet Sizing nella IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC* User Guide.
### Creazione di un endpoint VPC Amazon S3
Se configuri il VPC in modo che i container di elaborazione non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i dati, a meno che non crei un endpoint VPC che consente l'accesso. La creazione di un endpoint VPC consente ai tuoi container di elaborazione di accedere ai bucket in cui archivi i dati. Ti consigliamo inoltre di creare una policy personalizzata che consente l'accesso ai tuoi bucket S3 solo alle richieste dal tuo VPC privato. Per ulteriori informazioni, consulta [Endpoints for Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Per creare un endpoint VPC S3**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Endpoints (Endpoint)** e scegliere **Create Endpoint (Crea endpoint)**.
1. **Per il **nome del servizio**, scegli com.amazonaws. *region*.s3**, dove *region* è il nome della regione in cui risiede il tuo VPC.
1. In **VPC** scegliere il VPC da utilizzare per l'endpoint.
1. In **Configure route tables (Configura tabelle di routing)**, selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico S3 al nuovo endpoint.
1. In **Policy** scegliere **Full Access (Accesso completo)** per consentire l'accesso completo al servizio S3 da parte degli utenti o servizi all'interno del VPC. Scegliere **Custom (Personalizzato)** per limitare ulteriormente l'accesso. Per informazioni, consulta [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](#process-vpc-policy).
### Usare una policy di endpoint personalizzata per limitare l'accesso a S3
La policy di endpoint predefinita consente l'accesso completo a S3 da parte degli utenti o servizi nel tuo VPC. Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta [Utilizzo delle policy dell'endpoint per Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Puoi anche possibile utilizzare una policy di bucket per limitare l'accesso ai bucket S3 al solo traffico proveniente dal tuo Amazon VPC. Per ulteriori informazioni, consulta [Utilizzo delle policy bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Limitazione dell'installazione dei pacchetti nel container di elaborazione
La policy di endpoint predefinita permette agli utenti di installare pacchetti dai repository di Amazon Linux e Amazon Linux 2 nel container di elaborazione. Per impedire agli utenti di installare pacchetti da quel repository, crea una policy di endpoint personalizzata che nega esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurare le tabelle di routing
Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempio`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di elaborazione si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) nella *Guida per l'utente di Amazon VPC*.
### Configurare il gruppo di sicurezza di VPC
Nell'elaborazione distribuita, è necessario consentire la comunicazione tra diversi container nella stessa attività di elaborazione. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata tra i membri dello stesso gruppo di sicurezza. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Connessione alle risorse al di fuori del VPC
Se stai connettendo i tuoi modelli a risorse esterne al VPC su cui sono in esecuzione, esegui una delle seguenti operazioni:
+ **Connettiti ad altri AWS servizi**: se il tuo modello ha bisogno di accedere a un AWS servizio che supporti l'interfaccia degli endpoint Amazon VPC, crea un endpoint per connetterti a quel servizio. Per un elenco di servizi che supportano gli endpoint di interfaccia, consulta i [AWS servizi che si integrano con AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) nella Guida per l'utente. AWS PrivateLink Per informazioni sulla creazione di un endpoint VPC di interfaccia, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida per l'utente. AWS PrivateLink
+ **Connettiti alle risorse tramite Internet**: se i tuoi modelli sono in esecuzione su istanze in un Amazon VPC che non dispone di una sottorete con accesso a Internet, i modelli non avranno accesso alle risorse su Internet. Se il tuo modello ha bisogno di accedere a un AWS servizio che non supporta gli endpoint VPC di interfaccia o a una risorsa esterna AWS, assicurati di eseguire i modelli in una sottorete privata con accesso a Internet utilizzando un gateway NAT pubblico in una sottorete pubblica. Dopo aver eseguito i modelli nella sottorete privata, configurate i gruppi di sicurezza e le liste di controllo degli accessi alla rete (NACLs) per consentire le connessioni in uscita dalla sottorete privata al gateway NAT pubblico nella sottorete pubblica. Per informazioni, consulta [Gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) nella Guida per l'utente di Amazon VPC.
### Monitora i SageMaker processi di elaborazione di Amazon con CloudWatch log e metriche
Amazon SageMaker AI fornisce CloudWatch log e metriche Amazon per monitorare i lavori di formazione. CloudWatch fornisce CPU, GPU, memoria, memoria GPU e parametri del disco e registrazione degli eventi. Per ulteriori informazioni sul monitoraggio dei processi di SageMaker elaborazione di Amazon, consulta [Metriche di Amazon SageMaker AI in Amazon CloudWatch](monitoring-cloudwatch.md) e[SageMaker Metriche di lavoro basate sull'intelligenza artificiale](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Offri SageMaker ai corsi di formazione sull'intelligenza artificiale l'accesso alle risorse nel tuo Amazon VPC
**Nota**
Per i processi di addestramento, è possibile configurare solo le sottoreti con un VPC con tenancy predefinita in cui l'istanza viene eseguita su hardware condiviso. Per ulteriori informazioni sull'attributo tenancy per VPCs, consulta [Dedicated](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html) Instances.
## Configurazione di un processo di addestramento per l'accesso ad Amazon VPC
Per controllare l'accesso ai tuoi processi di addestramento, eseguili in un Amazon VPC con sottoreti private che non dispongono di accesso a Internet.
È possibile configurare il processo di formazione per l'esecuzione nel VPC specificandone le sottoreti e il gruppo di sicurezza. IDs Non devi specificare la sottorete per il container del processo di addestramento. Amazon SageMaker AI estrae automaticamente l'immagine del contenitore di formazione da Amazon ECR.
Quando crei un processo di formazione, puoi specificare le sottoreti e i gruppi di sicurezza nel tuo VPC utilizzando la console Amazon SageMaker AI o l'API.
Per utilizzare l'API, devi specificare le sottoreti e il gruppo di sicurezza IDs nel parametro dell'`VpcConfig`operazione. [ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) SageMaker L'intelligenza artificiale utilizza i dettagli della sottorete e del gruppo di sicurezza per creare le interfacce di rete e le collega ai contenitori di formazione. Le interfacce di rete forniscono container di addestramento con una connessione di rete all'interno del tuo VPC. Ciò consente al processo di addestramento di connettersi alle risorse presenti nel tuo VPC.
Di seguito viene mostrato un esempio del parametro `VpcConfig` che includi nella tua chiamata all'operazione `CreateTrainingJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configura il tuo VPC privato per SageMaker la formazione sull'intelligenza artificiale
Quando configuri il VPC privato per i SageMaker tuoi lavori di formazione sull'intelligenza artificiale, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta [Working with VPCs and Subnet nella](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Amazon *VPC* User Guide.
**Topics**
+ [Verificare che le sottoreti abbiano abbastanza indirizzi IP](#train-vpc-ip)
+ [Creazione di un endpoint VPC Amazon S3](#train-vpc-s3)
+ [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](#train-vpc-policy)
+ [Configurare le tabelle di routing](#train-vpc-route-table)
+ [Configurare il gruppo di sicurezza di VPC](#train-vpc-groups)
+ [Connessione alle risorse al di fuori del VPC](#train-vpc-nat)
+ [Monitora i lavori di SageMaker formazione su Amazon con CloudWatch log e metriche](#train-vpc-cloudwatch)
### Verificare che le sottoreti abbiano abbastanza indirizzi IP
Le istanze di addestramento che *non utilizzano* un Elastic Fabric Adapter (EFA) devono avere almeno 2 indirizzi IP privati. Le istanze di addestramento che utilizzano un EFA devono avere almeno 5 indirizzi IP privati. Per ulteriori informazioni, consulta [Indirizzi IP multipli](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) nella Guida per l'utente di Amazon EC2.
Le sottoreti VPC devono disporre di almeno due indirizzi IP privati per ogni istanza in un processo di addestramento. Per ulteriori informazioni, consulta [VPC and Subnet Sizing nella IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC* User Guide.
### Creazione di un endpoint VPC Amazon S3
Se configuri il tuo VPC in modo che i container di addestramento non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i dati di addestramento, a meno che non crei un endpoint VPC che consente l'accesso. La creazione di un endpoint VPC consente ai tuoi container di addestramento di accedere ai bucket in cui archivi i tuoi dati e artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consente l'accesso ai tuoi bucket S3 solo alle richieste dal tuo VPC privato. Per ulteriori informazioni, consulta [Endpoints for Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Per creare un endpoint VPC S3**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Endpoints (Endpoint)** e scegliere **Create Endpoint (Crea endpoint)**.
1. **Per **Service Name**, cerca com.amazonaws. *region*.s3**, dove *region* è il nome della regione in cui risiede il tuo VPC.
1. Scegli il tipo di **Gateway**.
1. In **VPC** scegliere il VPC da utilizzare per l'endpoint.
1. In **Configure route tables (Configura tabelle di routing)**, selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico S3 al nuovo endpoint.
1. In **Policy** scegliere **Full Access (Accesso completo)** per consentire l'accesso completo al servizio S3 da parte degli utenti o servizi all'interno del VPC. Scegliere **Custom (Personalizzato)** per limitare ulteriormente l'accesso. Per informazioni, consulta [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](#train-vpc-policy).
### Usare una policy di endpoint personalizzata per limitare l'accesso a S3
La policy di endpoint predefinita consente l'accesso completo a S3 da parte degli utenti o servizi nel tuo VPC. Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta [Utilizzo delle policy dell'endpoint per Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Puoi anche possibile utilizzare una policy di bucket per limitare l'accesso ai bucket S3 al solo traffico proveniente dal tuo Amazon VPC. Per ulteriori informazioni, consulta [Utilizzo delle policy bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Limitare l'installazione dei pacchetti nel container di addestramento
La policy di endpoint predefinita permette agli utenti di installare pacchetti dai repository di Amazon Linux e Amazon Linux 2 nel container di addestramento. Per impedire agli utenti di installare pacchetti da quel repository, crea una policy di endpoint personalizzata che nega esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurare le tabelle di routing
Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempio`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di formazione si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) nella *Guida per l'utente di Amazon VPC*.
### Configurare il gruppo di sicurezza di VPC
Nell’addestramento distribuito, devi consentire la comunicazione tra diversi container nello stesso processo di addestramento. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata tra i membri dello stesso gruppo di sicurezza. Per le istanze abilitate all'EFA, assicurati che le connessioni in entrata e in uscita consentano tutto il traffico proveniente dallo stesso gruppo di sicurezza. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) nella *Guida per l'utente del Amazon Virtual Private Cloud*.
### Connessione alle risorse al di fuori del VPC
Se configuri il tuo VPC in modo che non abbia accesso a Internet, i processi di addestramento che utilizzano quel VPC non hanno accesso a risorse esterne al VPC. Se il processo di addestramento deve accedere a risorse esterne al VPC, fornisci l'accesso con una delle seguenti opzioni:
+ Se il tuo processo di formazione richiede l'accesso a un AWS servizio che supporta gli endpoint VPC di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco dei servizi che supportano gli endpoint di interfaccia, consulta [Endpoint VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*. Per informazioni sulla creazione di un endpoint VPC di interfaccia, consulta Interface [VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) nella *Amazon* Virtual Private Cloud User Guide.
+ Se il tuo processo di formazione richiede l'accesso a un AWS servizio che non supporta gli endpoint VPC di interfaccia o a una risorsa esterna AWS, crea un gateway NAT e configura i tuoi gruppi di sicurezza per consentire le connessioni in uscita. Per informazioni sulla configurazione di un gateway NAT per il VPC, consulta [Scenario 2: VPC con sottoreti pubbliche e private (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*.
### Monitora i lavori di SageMaker formazione su Amazon con CloudWatch log e metriche
Amazon SageMaker AI fornisce CloudWatch log e metriche Amazon per monitorare i lavori di formazione. CloudWatch fornisce CPU, GPU, memoria, memoria GPU e parametri del disco e registrazione degli eventi. Per ulteriori informazioni sul monitoraggio dei lavori di SageMaker formazione di Amazon, consulta [Metriche di Amazon SageMaker AI in Amazon CloudWatch](monitoring-cloudwatch.md) e[SageMaker Metriche di lavoro basate sull'intelligenza artificiale](monitoring-cloudwatch.md#cloudwatch-metrics-jobs).
# Offri agli endpoint ospitati dall' SageMaker intelligenza artificiale l'accesso alle risorse nel tuo Amazon VPC
## Configurazione di un modello per l'accesso ad Amazon VPC
Per specificare sottoreti e gruppi di sicurezza nel tuo VPC privato, utilizza il parametro `VpcConfig` request dell'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)API o fornisci queste informazioni quando crei un modello nella console AI. SageMaker SageMaker L'intelligenza artificiale utilizza queste informazioni per creare interfacce di rete e collegarle ai contenitori del modello. Le interfacce di rete forniscono ai container di modello una connessione di rete all'interno del tuo VPC che non è connesso a Internet. Consentono anche al tuo modello di connettersi alle risorse nel tuo VPC privato.
**Nota**
Devi creare almeno due sottoreti in diverse zone di disponibilità nel tuo VPC privato, anche se hai solo un'istanza di hosting.
Di seguito viene mostrato un esempio del parametro `VpcConfig` che includi nella tua chiamata a `CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configura il tuo VPC privato per l' SageMaker hosting AI
Quando configuri il VPC privato per i SageMaker tuoi modelli di intelligenza artificiale, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta [Working with VPCs and Subnet nella](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Amazon *VPC* User Guide.
**Topics**
+ [Verificare che le sottoreti abbiano abbastanza indirizzi IP](#host-vpc-ip)
+ [Creazione di un endpoint VPC Amazon S3](#host-vpc-s3)
+ [Utilizzo di una policy di endpoint personalizzata per limitare l'accesso ad Amazon S3](#host-vpc-policy)
+ [Aggiunta a policy IAM personalizzate di autorizzazioni per l'accesso all'endpoint da parte dei container eseguiti in un VPC](#host-vpc-endpoints)
+ [Configurare le tabelle di routing](#host-vpc-route-table)
+ [Connessione alle risorse al di fuori del VPC](#model-vpc-nat)
### Verificare che le sottoreti abbiano abbastanza indirizzi IP
Le istanze di addestramento che non utilizzano un Elastic Fabric Adapter (EFA) devono avere almeno 2 indirizzi IP privati. Le istanze di addestramento che utilizzano un EFA devono avere almeno 5 indirizzi IP privati. Per ulteriori informazioni, consulta [Indirizzi IP multipli](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) nella Guida per l'utente di Amazon EC2.
### Creazione di un endpoint VPC Amazon S3
Se configuri il tuo VPC in modo che i container di modello non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i dati, a meno che non crei un endpoint VPC che consente l'accesso. La creazione di un endpoint VPC consente ai tuoi container di modello di accedere ai bucket in cui archivi i tuoi dati e artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consente l'accesso ai tuoi bucket S3 solo alle richieste dal tuo VPC privato. Per ulteriori informazioni, consulta [Endpoints for Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Per creare un endpoint VPC Amazon S3:**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Endpoints (Endpoint)** e scegliere **Create Endpoint (Crea endpoint)**.
1. **Per il **nome del servizio**, scegli com.amazonaws. *region*.s3**, dove *region* è il nome della AWS regione in cui risiede il tuo VPC.
1. In **VPC** scegliere il VPC da utilizzare per l'endpoint.
1. Alla voce **Configura tabelle di routing**, scegli le tabelle di routing che saranno utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico Amazon S3 al nuovo endpoint.
1. In **Policy** scegli **Accesso completo** per consentire l'accesso completo al servizio Amazon S3 da parte di qualsiasi utente o servizio all'interno del VPC. Scegliere **Custom (Personalizzato)** per limitare ulteriormente l'accesso. Per ulteriori informazioni, consulta [Utilizzo di una policy di endpoint personalizzata per limitare l'accesso ad Amazon S3](#host-vpc-policy).
### Utilizzo di una policy di endpoint personalizzata per limitare l'accesso ad Amazon S3
La policy dell'endpoint predefinita consente l'accesso completo ad Amazon Simple Storage Service (Amazon S3) da parte di qualsiasi utente o servizio nel tuo VPC. Per limitare ulteriormente l'accesso ad Amazon S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta [Utilizzo delle policy dell'endpoint per Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).
Puoi anche possibile utilizzare una policy di bucket per limitare l'accesso ai bucket S3 al solo traffico proveniente dal tuo Amazon VPC. Per ulteriori informazioni, consulta [Utilizzo delle policy bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Limitare l'installazione dei pacchetti nel container del modello con una policy dell'endpoint personalizzata
La policy di endpoint predefinita permette agli utenti di installare pacchetti dai repository di Amazon Linux e Amazon Linux 2 nel container di modello. Per impedire agli utenti di installare pacchetti da tali repository, creare una policy dell'endpoint personalizzata che neghi esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Aggiunta a policy IAM personalizzate di autorizzazioni per l'accesso all'endpoint da parte dei container eseguiti in un VPC
La policy gestita `SageMakerFullAccess` include le autorizzazioni per l'utilizzo di modelli configurati per l'accesso ad Amazon VPC tramite un endpoint. Queste autorizzazioni consentono all' SageMaker IA di creare un'interfaccia di rete elastica e collegarla ai container modello in esecuzione in un VPC. Se utilizzi la tua policy IAM, per utilizzare i modelli configurati per l'accesso al VPC devi aggiungere ad essa le seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sulla policy gestita `SageMakerFullAccess`, consultare [AWS politica gestita: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurare le tabelle di routing
Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempio`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) risolva. Se non utilizzi impostazioni DNS predefinite, assicurati che quelle URLs che usi per specificare le posizioni dei dati nei tuoi modelli si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) nella *Guida per l'utente di Amazon VPC*.
### Connessione alle risorse al di fuori del VPC
Se configuri il tuo VPC in modo che non abbia accesso a Internet, i modelli che utilizzano quel VPC non hanno accesso a risorse esterne al VPC. Se il modello deve accedere a risorse esterne al VPC, fornisci l'accesso con una delle seguenti opzioni:
+ Se il tuo modello ha bisogno di accedere a un AWS servizio che supporta gli endpoint VPC di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco dei servizi che supportano gli endpoint di interfaccia, consulta [Endpoint VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) nella *Guida per l'utente di Amazon VPC*. *Per informazioni sulla creazione di un endpoint VPC di interfaccia, consulta Interface [VPC Endpoints () nella Amazon VPC User AWS PrivateLink Guide](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html).*
+ Se il tuo modello ha bisogno di accedere a un AWS servizio che non supporta gli endpoint VPC di interfaccia o a una risorsa esterna AWS, crea un gateway NAT e configura i tuoi gruppi di sicurezza per consentire le connessioni in uscita. Per informazioni sulla configurazione di un gateway NAT per il VPC, consulta [Scenario 2: VPC con sottoreti pubbliche e private (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*.
# Autorizzazione dei processi di trasformazione in batch ad accedere alle risorse nel tuo Amazon VPC
Per controllare l'accesso ai tuoi dati e ai processi di trasformazione in batch, ti consigliamo di creare un Amazon VPC privato e configurarlo in modo che i processi non siano accessibili su Internet. La configurazione del VPC privato viene specificata durante la creazione di un modello specificando le sottoreti e i gruppi di sicurezza. Specifica quindi lo stesso modello al momento della creazione di un processo di trasformazione in batch. Quando specifichi le sottoreti e i gruppi di sicurezza, l' SageMaker intelligenza artificiale crea *interfacce di rete elastiche* associate ai gruppi di sicurezza in una delle sottoreti. Le interfacce di rete consentono ai container di modello di connettersi alle risorse nel tuo VPC. Per ulteriori informazioni sulle interfacce di rete, consulta [Interfacce di rete elastiche](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) nella *Guida per l'utente di Amazon VPC*.
Questo documento spiega come aggiungere configurazioni di Amazon VPC per i processi di trasformazione in batch.
## Configurazione di un processo di trasformazione in batch per l'accesso ad Amazon VPC
Per specificare sottoreti e gruppi di sicurezza nel tuo VPC privato, utilizza il parametro `VpcConfig` request dell'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)API o fornisci queste informazioni quando crei un modello nella console AI. SageMaker Quindi specifica lo stesso modello nel parametro di `ModelName` richiesta dell'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)API o nel campo **Nome modello** quando crei un processo di trasformazione nella SageMaker console AI. SageMaker L'intelligenza artificiale utilizza queste informazioni per creare interfacce di rete e collegarle ai contenitori del modello. Le interfacce di rete forniscono ai container di modello una connessione di rete all'interno del tuo VPC che non è connesso a Internet. Consentono anche al tuo processo di trasformazione di connettersi alle risorse nel tuo VPC privato.
Di seguito viene mostrato un esempio del parametro `VpcConfig` che includi nella tua chiamata a `CreateModel`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Se crei un modello utilizzando l'operazione API `CreateModel`, il ruolo di esecuzione IAM utilizzato per creare il modello deve includere le autorizzazioni descritte in [CreateModel API: autorizzazioni per i ruoli di esecuzione](sagemaker-roles.md#sagemaker-roles-createmodel-perms), incluse le seguenti autorizzazioni necessarie per un VPC privato.
Quando si crea un modello nella console, se si seleziona **Crea un nuovo ruolo** nella sezione **Impostazioni modello**, la [AmazonSageMakerFullAccess ](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor)politica utilizzata per creare il ruolo contiene già queste autorizzazioni. Se selezioni **Immetti un ARN per il ruolo IAM personalizzato** oppure **Usa ruolo esistente**, all'ARN del ruolo specificato deve avere collegata una policy di esecuzione con le autorizzazioni seguenti.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
```
## Configura il tuo VPC privato per AI SageMaker Batch Transform
Quando configuri il VPC privato per i SageMaker tuoi lavori di trasformazione in batch AI, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta [Working with VPCs and Subnet nella](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Amazon *VPC* User Guide.
**Topics**
+ [Verificare che le sottoreti abbiano abbastanza indirizzi IP](#batch-vpc-ip)
+ [Creazione di un endpoint VPC Amazon S3](#batch-vpc-s3)
+ [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](#batch-vpc-policy)
+ [Configurare le tabelle di routing](#batch-vpc-route-table)
+ [Configurare il gruppo di sicurezza di VPC](#batch-vpc-groups)
+ [Connessione alle risorse al di fuori del VPC](#batch-vpc-nat)
### Verificare che le sottoreti abbiano abbastanza indirizzi IP
Le sottoreti VPC devono avere almeno due indirizzi IP privati per ogni istanza in un processo di trasformazione. Per ulteriori informazioni, consulta [VPC and Subnet Sizing nella IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC* User Guide.
### Creazione di un endpoint VPC Amazon S3
Se configuri il tuo VPC in modo che i container di modello non abbiano accesso a Internet, non possono connettersi ai bucket Amazon S3 che contengono i dati, a meno che non crei un endpoint VPC che consente l'accesso. La creazione di un endpoint VPC consente ai tuoi container di modello di accedere ai bucket in cui archivi i tuoi dati e artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consente l'accesso ai tuoi bucket S3 solo alle richieste dal tuo VPC privato. Per ulteriori informazioni, consulta [Endpoints for Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Per creare un endpoint VPC S3**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Endpoints (Endpoint)** e scegliere **Create Endpoint (Crea endpoint)**.
1. **Per il **nome del servizio**, scegli com.amazonaws. *region*.s3**, dove *region* è il nome della regione in cui risiede il tuo VPC.
1. In **VPC** scegliere il VPC da utilizzare per l'endpoint.
1. In **Configure route tables (Configura tabelle di routing)**, selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico S3 al nuovo endpoint.
1. In **Policy** scegliere **Full Access (Accesso completo)** per consentire l'accesso completo al servizio S3 da parte degli utenti o servizi all'interno del VPC. Scegliere **Custom (Personalizzato)** per limitare ulteriormente l'accesso. Per informazioni, consulta [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](#batch-vpc-policy).
### Usare una policy di endpoint personalizzata per limitare l'accesso a S3
La policy di endpoint predefinita consente l'accesso completo a S3 da parte degli utenti o servizi nel tuo VPC. Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta [Utilizzo delle policy dell'endpoint per Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Puoi anche possibile utilizzare una policy di bucket per limitare l'accesso ai bucket S3 al solo traffico proveniente dal tuo Amazon VPC. Per ulteriori informazioni, consulta [Utilizzo delle policy bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Limitare l'installazione dei pacchetti nel container del modello
La policy di endpoint predefinita permette agli utenti di installare pacchetti dai repository di Amazon Linux e Amazon Linux 2 nel container di addestramento. Per impedire agli utenti di installare pacchetti da quel repository, crea una policy di endpoint personalizzata che nega esplicitamente l'accesso ai repository di Amazon Linux e Amazon Linux 2. Di seguito è riportato un esempio di policy che nega l'accesso a questi repository:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurare le tabelle di routing
Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempio`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di trasformazione in batch si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) nella *Guida per l'utente di Amazon VPC*.
### Configurare il gruppo di sicurezza di VPC
Nella trasformazione in batch distribuita, devi consentire la comunicazione tra diversi container nello stesso processo di trasformazione in batch. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata e in uscita tra i membri dello stesso gruppo di sicurezza. I membri dello stesso gruppo di sicurezza dovrebbero essere in grado di comunicare tra loro attraverso tutte le porte. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Connessione alle risorse al di fuori del VPC
Se configuri il VPC in modo che non abbia accesso a Internet, i processi di trasformazione in batch che utilizzano tale VPC non hanno accesso alle risorse al di fuori del VPC. Se il processo di trasformazione in batch deve accedere a risorse esterne al VPC, fornisci l'accesso con una delle seguenti opzioni:
+ Se il processo di trasformazione in batch richiede l'accesso a un AWS servizio che supporta gli endpoint VPC di interfaccia, crea un endpoint per connetterti a quel servizio. Per un elenco dei servizi che supportano gli endpoint di interfaccia, consulta [Endpoint VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) nella *Guida per l'utente di Amazon VPC*. *Per informazioni sulla creazione di un endpoint VPC di interfaccia, consulta Interface [VPC Endpoints () nella Amazon VPC User AWS PrivateLink Guide](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html).*
+ Se il processo di trasformazione in batch richiede l'accesso a un AWS servizio che non supporta gli endpoint VPC di interfaccia o a una risorsa esterna AWS, crea un gateway NAT e configura i gruppi di sicurezza per consentire le connessioni in uscita. Per informazioni sulla configurazione di un gateway NAT per il VPC, consulta [Scenario 2: VPC con sottoreti pubbliche e private (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) nella *Guida per l'utente di Amazon Virtual Private Cloud*.
# Offri ad Amazon SageMaker Clarify Jobs l'accesso alle risorse nel tuo Amazon VPC
Per controllare l'accesso ai tuoi dati e ai lavori di SageMaker Clarify, ti consigliamo di creare un Amazon VPC privato e configurarlo in modo che i tuoi lavori non siano accessibili su Internet pubblico. Per informazioni sulla creazione e configurazione di un Amazon VPC per i lavori di elaborazione, [consulta SageMaker Concedi ai processi di elaborazione l'accesso alle risorse nel tuo Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc) VPC.
Questo documento spiega come aggiungere configurazioni Amazon VPC aggiuntive che soddisfino i requisiti per SageMaker i job Clarify.
**Topics**
+ [Configurazione di un lavoro SageMaker Clarify per Amazon VPC Access](#clarify-vpc-config)
+ [Configura il tuo Amazon VPC privato per SageMaker i lavori di Clarify](#clarify-vpc-vpc)
## Configurazione di un lavoro SageMaker Clarify per Amazon VPC Access
È necessario specificare sottoreti e gruppi di sicurezza durante la configurazione dei job privati di Amazon VPC for SageMaker Clarify e consentire al job di ottenere inferenze dal modello di SageMaker intelligenza artificiale durante il calcolo delle metriche di distorsione post-formazione e dei contributi alle funzionalità che aiutano a spiegare le previsioni dei modelli.
**Topics**
+ [SageMaker Clarify Job: sottoreti e gruppi di sicurezza Amazon VPC](#clarify-vpc-job)
+ [Configurazione di un modello Amazon VPC per l'inferenza](#clarify-vpc-model)
### SageMaker Clarify Job: sottoreti e gruppi di sicurezza Amazon VPC
Le sottoreti e i gruppi di sicurezza del tuo Amazon VPC privato possono essere assegnati a un job SageMaker Clarify in vari modi, a seconda di come crei il lavoro.
+ **SageMaker Console AI****: fornisci queste informazioni quando crei il lavoro nell'AI Dashboard. SageMaker ** Dal menu **Elaborazione**, scegli **Processi di elaborazione**, quindi scegli **Crea processo di elaborazione.** Seleziona l'opzione **VPC** nel pannello **Rete** e fornisci le sottoreti e i gruppi di sicurezza utilizzando gli elenchi a discesa. Assicurati che l'opzione di isolamento della rete fornita in questo pannello sia disattivata.
+ **SageMaker API**: utilizza il parametro di `NetworkConfig.VpcConfig` richiesta dell'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API, come mostrato nell'esempio seguente:
```
"NetworkConfig": {
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
}
```
+ **SageMaker Python SDK**: utilizza il `NetworkConfig` parametro dell'[https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API o dell'[https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)API, come mostrato nell'esempio seguente:
```
from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
subnets=[
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2",
],
security_group_ids=[
"sg-0123456789abcdef0",
],
)
```
SageMaker L'intelligenza artificiale utilizza le informazioni per creare interfacce di rete e collegarle al SageMaker job Clarify. Le interfacce di rete forniscono un job SageMaker Clarify con una connessione di rete all'interno di Amazon VPC che non è connessa alla rete Internet pubblica. Consentono inoltre al job SageMaker Clarify di connettersi alle risorse del tuo Amazon VPC privato.
**Nota**
L'opzione di isolamento della rete del job SageMaker Clarify deve essere disattivata (per impostazione predefinita l'opzione è disattivata) in modo che il job SageMaker Clarify possa comunicare con l'endpoint shadow.
### Configurazione di un modello Amazon VPC per l'inferenza
[Per calcolare le metriche di distorsione e la spiegabilità post-allenamento, il job SageMaker Clarify deve ottenere inferenze dal modello di SageMaker intelligenza artificiale specificato dal parametro della configurazione di analisi per il processo di elaborazione di Clarify. `model_name`](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) SageMaker In alternativa, se utilizzi l'`SageMakerClarifyProcessor`API nell'SDK SageMaker AI Python, il lavoro deve ottenere `model_name` quanto specificato dalla classe. [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig) A tale scopo, il job SageMaker Clarify crea un endpoint temporaneo con il modello, noto come endpoint *shadow, e quindi applica la configurazione Amazon VPC del modello all'endpoint* shadow.
Per specificare sottoreti e gruppi di sicurezza nel tuo Amazon VPC privato rispetto al modello SageMaker AI, utilizza il parametro `VpcConfig` request dell'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel)API o fornisci queste informazioni quando crei il modello utilizzando la dashboard SageMaker AI nella console. Di seguito viene mostrato un esempio del parametro `VpcConfig` che includi nella tua chiamata a `CreateModel`:
```
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
È possibile specificare il numero di istanze dell'endpoint shadow da avviare con il `initial_instance_count` parametro della [configurazione di analisi](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) per il processo di elaborazione Clarify. SageMaker In alternativa, se utilizzi l'`SageMakerClarifyProcessor`API nell'SDK SageMaker AI Python, il lavoro deve ottenere `instance_count` quanto specificato dalla classe. [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)
**Nota**
Anche se richiedi solo un'istanza durante la creazione dell'endpoint shadow, hai bisogno di almeno due sottoreti nelle zone di disponibilità del modello in zone di [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)disponibilità distinte. In caso contrario, la creazione dell'endpoint shadow non riesce con il seguente errore:
ClientError: Errore nell'hosting dell'endpoint sagemaker-clarify-endpoint-XXX: non riuscito. Motivo: impossibile individuare almeno 2 zone di disponibilità con il tipo di istanza richiesto YYY che si sovrappongono alle sottoreti AI SageMaker .
Se il tuo modello richiede file di modello in Amazon S3, il modello Amazon VPC deve avere un endpoint VPC Amazon S3. Per ulteriori informazioni sulla creazione e configurazione di modelli Amazon VPC SageMaker per l'intelligenza artificiale, consulta. [Offri agli endpoint ospitati dall' SageMaker intelligenza artificiale l'accesso alle risorse nel tuo Amazon VPC](host-vpc.md)
## Configura il tuo Amazon VPC privato per SageMaker i lavori di Clarify
In generale, puoi seguire i passaggi in [Configurazione del tuo VPC privato per l' SageMaker elaborazione per](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc) configurare i tuoi lavori privati di Amazon VPC for Clarify. SageMaker Ecco alcuni punti salienti e requisiti speciali per SageMaker le offerte di lavoro di Clarify.
**Topics**
+ [Connessione alle risorse al di fuori del tuo Amazon VPC](#clarify-vpc-nat)
+ [Configurazione del gruppo di sicurezza di Amazon VPC](#clarify-vpc-security-group)
### Connessione alle risorse al di fuori del tuo Amazon VPC
Se configuri Amazon VPC in modo che non abbia accesso pubblico a Internet, sono necessarie alcune configurazioni aggiuntive per concedere ai lavori di SageMaker Clarify l'accesso a risorse e servizi esterni al tuo Amazon VPC. Ad esempio, è necessario un endpoint VPC Amazon S3 perché un job SageMaker Clarify deve caricare un set di dati da un bucket S3 e salvare i risultati dell'analisi in un bucket S3. Per ulteriori informazioni, consulta [Creare un endpoint VPC Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3) per la guida alla creazione. Inoltre, se un job SageMaker Clarify deve ottenere inferenze dall'endpoint shadow, deve chiamare diversi altri servizi. AWS
+ **Crea un endpoint VPC del servizio Amazon SageMaker API**: il job SageMaker Clarify deve chiamare il servizio SageMaker API Amazon per manipolare l'endpoint shadow o descrivere un modello di intelligenza artificiale SageMaker per la convalida di Amazon VPC. Puoi seguire le indicazioni fornite nel AWS PrivateLink blog [Securing all Amazon SageMaker API call with](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/) per creare un endpoint Amazon SageMaker API VPC che consenta al job Clarify di effettuare SageMaker le chiamate di servizio. Tieni presente che il nome del servizio Amazon SageMaker API è`com.amazonaws.region.sagemaker.api`, dove *region* è il nome della regione in cui risiede il tuo Amazon VPC.
+ **Crea un endpoint VPC Amazon SageMaker AI Runtime**: il job SageMaker Clarify deve chiamare il servizio di runtime Amazon SageMaker AI, che indirizza le chiamate all'endpoint shadow. I passaggi di configurazione sono simili a quelli del servizio Amazon SageMaker API. Tieni presente che il nome del servizio Amazon SageMaker AI Runtime è`com.amazonaws.region.sagemaker.runtime`, dove *region* è il nome della regione in cui risiede il tuo Amazon VPC.
### Configurazione del gruppo di sicurezza di Amazon VPC
SageMaker I job di Clarify supportano l'elaborazione distribuita quando due o più istanze di elaborazione vengono specificate in uno dei seguenti modi:
+ **SageMaker Console AI**: il **conteggio delle istanze** è specificato nella parte di **configurazione delle risorse** del pannello **delle impostazioni del lavoro** nella pagina **Crea processo di elaborazione**.
+ **SageMaker API**: `InstanceCount` viene specificato quando si crea il lavoro con l'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API.
+ **SageMaker Python SDK**[: `instance_count` viene specificato quando si utilizza l'API o l'[SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API Processor.](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)
Nell'elaborazione distribuita, devi consentire la comunicazione tra diverse istanze nello stesso processo di elaborazione. A tale scopo, configura una regola per il gruppo di sicurezza che consente connessioni in entrata tra i membri dello stesso gruppo di sicurezza. Per informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
# Offri SageMaker ai lavori di compilazione AI l'accesso alle risorse nel tuo Amazon VPC
**Nota**
Per i processi di compilazione, puoi configurare solo le sottoreti con un VPC con tenancy predefinita in cui il processo viene eseguito su hardware condiviso. [Per ulteriori informazioni sull'attributo tenancy per VPCs, consulta Dedicated Instances.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html)
## Configurazione di un processo di compilazione per l'accesso ad Amazon VPC
Per specificare sottoreti e gruppi di sicurezza nel tuo VPC privato, usa il parametro `VpcConfig` request dell'[https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)API o fornisci queste informazioni quando crei un lavoro di compilazione nella console AI. SageMaker SageMaker AI Neo utilizza queste informazioni per creare interfacce di rete e collegarle ai tuoi lavori di compilazione. Le interfacce di rete forniscono processi di compilazione con una connessione di rete all'interno del tuo VPC che non è connesso a Internet. Consentono anche al processo di compilazione di connettersi alle risorse nel tuo VPC privato. Di seguito viene mostrato un esempio del parametro `VpcConfig` che includi nella tua chiamata a `CreateCompilationJob`:
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configura il tuo VPC privato per SageMaker la compilazione AI
Quando configuri il VPC privato per i SageMaker tuoi lavori di compilazione AI, utilizza le seguenti linee guida. Per informazioni sulla configurazione di un VPC, consulta [Working with VPCs and Subnet nella](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Amazon *VPC* User Guide.
**Topics**
+ [Verificare che le sottoreti abbiano abbastanza indirizzi IP](#neo-vpc-ip)
+ [Creazione di un endpoint VPC Amazon S3](#neo-vpc-s3)
+ [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](#neo-vpc-policy)
+ [Configurare le tabelle di routing](#neo-vpc-route-table)
+ [Configurare il gruppo di sicurezza di VPC](#neo-vpc-groups)
### Verificare che le sottoreti abbiano abbastanza indirizzi IP
Le sottoreti del tuo VPC devono avere almeno due indirizzi IP privati per ogni istanza in un processo di compilazione. Per ulteriori informazioni, consulta [VPC and Subnet Sizing nella IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Amazon *VPC* User Guide.
### Creazione di un endpoint VPC Amazon S3
Se configuri il tuo VPC per bloccare l'accesso a Internet, SageMaker Neo non può connettersi ai bucket Amazon S3 che contengono i tuoi modelli a meno che non crei un endpoint VPC che consenta l'accesso. Creando un endpoint VPC, consenti ai tuoi processi di compilazione SageMaker Neo di accedere ai bucket in cui memorizzi i dati e gli artefatti del modello. Ti consigliamo inoltre di creare una policy personalizzata che consente l'accesso ai tuoi bucket S3 solo alle richieste dal tuo VPC privato. Per ulteriori informazioni, consulta [Endpoints for Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Per creare un endpoint VPC S3**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Endpoints (Endpoint)** e scegliere **Create Endpoint (Crea endpoint)**.
1. **Per **Service Name, cerca com.amazonaws.** *region*.s3**, dove *region* è il nome della regione in cui risiede il tuo VPC.
1. Scegli il tipo di **Gateway**.
1. In **VPC** scegliere il VPC da utilizzare per l'endpoint.
1. In **Configure route tables (Configura tabelle di routing)**, selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico S3 al nuovo endpoint.
1. In **Policy** scegliere **Full Access (Accesso completo)** per consentire l'accesso completo al servizio S3 da parte degli utenti o servizi all'interno del VPC. Scegliere **Custom (Personalizzato)** per limitare ulteriormente l'accesso. Per informazioni, consulta [Usare una policy di endpoint personalizzata per limitare l'accesso a S3](train-vpc.md#train-vpc-policy).
### Usare una policy di endpoint personalizzata per limitare l'accesso a S3
La policy di endpoint predefinita consente l'accesso completo a S3 da parte degli utenti o servizi nel tuo VPC. Per limitare ulteriormente l'accesso a S3, crea una policy di endpoint personalizzata. Per ulteriori informazioni, consulta [Utilizzo delle policy dell'endpoint per Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Puoi anche possibile utilizzare una policy di bucket per limitare l'accesso ai bucket S3 al solo traffico proveniente dal tuo Amazon VPC. Per ulteriori informazioni, consulta [Utilizzo delle policy bucket Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Di seguito è riportata una policy personalizzata di esempio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Aggiunta a policy IAM personalizzate di autorizzazioni per il processo di compilazione in esecuzione in Amazon VPC
La policy gestita `SageMakerFullAccess` include le autorizzazioni per l'utilizzo di modelli configurati per l'accesso ad Amazon VPC tramite un endpoint. Queste autorizzazioni consentono a SageMaker Neo di creare un'interfaccia di rete elastica e collegarla a un lavoro di compilazione in esecuzione su un Amazon VPC. Se utilizzi la tua policy IAM, per utilizzare i modelli configurati per l'accesso ad Amazon VPC devi aggiungere ad essa le seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sulla policy gestita `SageMakerFullAccess`, consultare [AWS politica gestita: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurare le tabelle di routing
Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempio`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di compilazione si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) nella *Guida per l'utente di Amazon VPC*.
### Configurare il gruppo di sicurezza di VPC
Nel gruppo di sicurezza per il processo di compilazione, devi consentire la comunicazione in uscita verso gli endpoint Amazon VPC di Amazon S3 e gli intervalli CIDR della sottorete utilizzati per il processo di compilazione. Per informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) e [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).
# Autorizzazione dei processi di raccomandazione di inferenza ad accedere alle risorse in Amazon VPC
**Nota**
Suggeritore di inferenza richiede la registrazione del modello con Model Registry. Tieni presente che Model Registry non consente agli artefatti del modello o all'immagine di Amazon ECR di essere soggetti a restrizioni VPC.
Suggeritore di inferenza richiede inoltre che l'oggetto Amazon S3 del payload di esempio non sia soggetto a restrizioni VPC. Per i processi di raccomandazione di inferenza, non creare una policy personalizzata che consente l'accesso ai tuoi bucket Amazon S3 solo alle richieste dal tuo VPC privato.
Per specificare sottoreti e gruppi di sicurezza nel tuo VPC privato, utilizza il parametro `RecommendationJobVpcConfig` request dell'[CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)API o specifica le sottoreti e i gruppi di sicurezza quando crei un processo di raccomandazione nella console AI. SageMaker
Suggeritore di inferenza utilizza queste informazioni per creare endpoint. Durante il provisioning degli endpoint, l' SageMaker IA crea interfacce di rete e le collega agli endpoint. Le interfacce di rete forniscono agli endpoint una connessione di rete al tuo VPC. Di seguito viene mostrato un esempio del parametro `VpcConfig` che includi in una chiamata a `CreateInferenceRecommendationsJob`:
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Consulta i seguenti argomenti per ulteriori informazioni sulla configurazione di Amazon VPC per l'utilizzo con i processi di Suggeritore di inferenza.
**Topics**
+ [Verifica che le sottoreti abbiano abbastanza indirizzi IP](#inference-recommender-vpc-access-subnets)
+ [Creazione di un endpoint VPC Amazon S3](#inference-recommender-vpc-access-endpoint)
+ [Aggiunta a policy IAM personalizzate di autorizzazioni per i processi di Suggeritore di inferenza in esecuzione in un Amazon VPC](#inference-recommender-vpc-access-permissions)
+ [Configurare le tabelle di routing](#inference-recommender-vpc-access-route-tables)
+ [Configurazione del gruppo di sicurezza di VPC](#inference-recommender-vpc-access-security-group)
## Verifica che le sottoreti abbiano abbastanza indirizzi IP
Le sottoreti del tuo VPC devono avere almeno due indirizzi IP privati per ogni istanza in un processo di raccomandazione di inferenza. Per ulteriori informazioni su sottoreti e indirizzi IP privati, consulta [VPC e dimensionamento delle sottoreti in IPv4](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) nella *Guida per l'utente di Amazon VPC*
## Creazione di un endpoint VPC Amazon S3
Se configuri il tuo VPC in modo da bloccare l'accesso a Internet, Suggeritore di inferenza non può connettersi ai bucket Amazon S3 che contengono i modelli, a meno che non crei un endpoint VPC che consente l'accesso. Creando un endpoint VPC, consenti SageMaker ai tuoi lavori di raccomandazione di inferenza AI di accedere ai bucket in cui archivi i dati e gli artefatti del modello.
Per creare un endpoint VPC Amazon S3, utilizza la seguente procedura:
1. Apri la [Console Amazon VPC](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, selezionare **Endpoint** e scegliere **Create Endpoint (Crea endpoint)**.
1. In **Nome servizio**, cerca `com.amazonaws.region.s3`, dove `region` è il nome della Regione in cui risiede il tuo VPC.
1. Scegli il tipo di **Gateway**.
1. In **VPC** scegliere il VPC da utilizzare per l'endpoint.
1. In **Configure route tables (Configura tabelle di routing)**, selezionare le tabelle di routing che devono essere utilizzate dall'endpoint. Il servizio VPC aggiunge automaticamente una route a ogni tabella di routing selezionata che indirizza il traffico Amazon S3 al nuovo endpoint.
1. In **Policy** scegli **Accesso completo** per consentire l'accesso completo al servizio Amazon S3 da parte di qualsiasi utente o servizio all'interno del VPC.
## Aggiunta a policy IAM personalizzate di autorizzazioni per i processi di Suggeritore di inferenza in esecuzione in un Amazon VPC
La policy gestita `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` include le autorizzazioni per l'utilizzo di modelli configurati per l'accesso ad Amazon VPC tramite un endpoint. Queste autorizzazioni consentono a Suggeritore di inferenza di creare un'interfaccia di rete elastica e collegarla al processo di raccomandazione di inferenza in esecuzione in un Amazon VPC. Se utilizzi la tua policy IAM, per utilizzare i modelli configurati per l'accesso ad Amazon VPC devi aggiungere ad essa le seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## Configurare le tabelle di routing
Utilizza le impostazioni DNS predefinite per la tabella di routing degli endpoint, in modo che Amazon URLs S3 standard (ad esempio`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`:) risolva. Se non utilizzi le impostazioni DNS predefinite, assicurati che quelle utilizzate per specificare le URLs posizioni dei dati nei processi di raccomandazione di inferenza si risolvano configurando le tabelle di routing degli endpoint. Per informazioni sulle tabelle di routing di endpoint VPC, consulta [Routing per endpoint gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) nella *Guida per l'utente di Amazon VPC*.
## Configurazione del gruppo di sicurezza di VPC
Nel tuo gruppo di sicurezza per il processo delle raccomandazioni di inferenza, devi consentire la comunicazione in uscita verso gli endpoint VPC Amazon S3 e gli intervalli CIDR della sottorete utilizzati per tale processo. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) e [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) nella *Guida utente Amazon VPC*.