As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Isolar recursos do domínio
**Importante**
Políticas personalizadas do IAM que permitem que o Amazon SageMaker SageMaker Studio ou o Amazon Studio Classic criem SageMaker recursos da Amazon também devem conceder permissões para adicionar tags a esses recursos. A permissão para adicionar tags aos recursos é necessária porque o Studio e o Studio Classic marcam automaticamente todos os recursos que eles criam. Se uma política do IAM permitir que o Studio e o Studio Classic criem recursos, mas não permitisse a marcação, erros AccessDenied "" podem ocorrer ao tentar criar recursos. Para obter mais informações, consulte [Forneça permissões para marcar recursos de SageMaker IA](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS políticas gerenciadas para Amazon SageMaker AI](security-iam-awsmanpol.md)que dão permissões para criar SageMaker recursos já incluem permissões para adicionar tags ao criar esses recursos.
Você pode isolar recursos entre cada um dos domínios da sua conta Região da AWS usando uma política AWS Identity and Access Management (IAM). Os recursos isolados não serão mais acessados a partir de outros domínios. Neste tópico, discutiremos as condições necessárias para a política do IAM e como aplicá-las.
Os recursos que podem ser isolados por essa política são os tipos de recursos que têm chaves de condição contendo `aws:ResourceTag/${TagKey}` ou `sagemaker:ResourceTag/${TagKey}`. Para obter uma referência sobre os recursos de SageMaker IA e as chaves de condição associadas, consulte [Ações, recursos e chaves de condição para Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html).
**Atenção**
Os tipos de recursos que *não* contêm as chaves de condição acima (e, portanto, as [ações](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) que usam os tipos de recursos) *não* são afetados por essa política de isolamento de recursos. Por exemplo, o tipo de recurso [pipeline-execution](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-pipeline-execution) *não* contém as chaves de condição acima e *não* é afetado por essa política. Portanto, algumas ações, com o tipo de recurso pipeline-execution, que *não* são compatíveis com o isolamento de recursos:
DescribePipelineExecution
StopPipelineExecution
UpdatePipelineExecution
RetryPipelineExecution
DescribePipelineDefinitionForExecution
ListPipelineExecutionSteps
SendPipelineExecutionStepSuccess
SendPipelineExecutionStepFailure
O tópico a seguir mostra como criar uma nova política do IAM que limita o acesso aos recursos no domínio aos perfis de usuário com a tag de domínio, além de como anexar essa política ao perfil de execução do IAM do domínio. Você deve repetir esse processo para cada domínio em sua conta. Para obter mais informações sobre tags de domínio e preenchimento dessas tags, consulte [Visão geral de vários domínios](domain-multiple.md).
## Console
A seção a seguir mostra como criar uma nova política do IAM que limita o acesso aos recursos no domínio aos perfis de usuário com a tag de domínio, além de como anexar essa política à função de execução do IAM do domínio, a partir do console do Amazon SageMaker AI.
**nota**
Essa política só funciona em domínios que usam o Amazon SageMaker Studio Classic como experiência padrão.
1. Crie uma política do IAM nomeada `StudioDomainResourceIsolationPolicy-domain-id` com o seguinte documento de política JSON concluindo as etapas em [Criação de políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. Anexe a política `StudioDomainResourceIsolationPolicy-domain-id` ao perfil de execução do domínio concluindo as etapas em [Como modificar um perfil (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy).
## AWS CLI
A seção a seguir mostra como criar uma nova política do IAM que limita o acesso aos recursos no domínio aos perfis de usuário com a tag de domínio, além de como anexar essa política ao perfil de execução do domínio a partir da AWS CLI.
**nota**
Essa política só funciona em domínios que usam o Amazon SageMaker Studio Classic como experiência padrão.
1. Crie um arquivo denominado `StudioDomainResourceIsolationPolicy-domain-id` com o conteúdo a seguir a partir da sua máquina local.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAPIs",
"Effect": "Allow",
"Action": "sagemaker:Create*",
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:space/*"
]
},
{
"Sid": "ResourceAccessRequireDomainTag",
"Effect": "Allow",
"Action": [
"sagemaker:Update*",
"sagemaker:Delete*",
"sagemaker:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:domain-arn": "domain-arn"
}
}
},
{
"Sid": "AllowActionsThatDontSupportTagging",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeImageVersion",
"sagemaker:UpdateImageVersion",
"sagemaker:DeleteImageVersion",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:DescribeAction"
],
"Resource": "*"
},
{
"Sid": "DeleteDefaultApp",
"Effect": "Allow",
"Action": "sagemaker:DeleteApp",
"Resource": "arn:aws:sagemaker:*:*:app/domain-id/*/jupyterserver/default"
}
]
}
```
------
1. Crie uma nova política do IAM usando o arquivo `StudioDomainResourceIsolationPolicy-domain-id`.
```
aws iam create-policy --policy-name StudioDomainResourceIsolationPolicy-domain-id --policy-document file://StudioDomainResourceIsolationPolicy-domain-id
```
1. Anexe a política recém-criada a um perfil novo ou existente que seja usado como perfil de execução do domínio.
```
aws iam attach-role-policy --policy-arn arn:aws:iam:account-id:policy/StudioDomainResourceIsolationPolicy-domain-id --role-name domain-execution-role
```