As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Compreendendo as permissões de espaço e os perfis de execução do domínio
<a name="execution-roles-and-spaces"></a>

Para muitos aplicativos de SageMaker IA, quando você inicia um aplicativo de SageMaker IA em um domínio, um espaço é criado para o aplicativo. Quando um perfil de usuário cria um espaço, esse espaço assume um perfil AWS Identity and Access Management (IAM) que define as permissões concedidas a esse espaço. A página a seguir fornece informações sobre os tipos de espaço e os perfis de execução que definem as permissões para o espaço.

 Um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil. 

**nota**  
Quando você inicia o Amazon SageMaker Canvas ou RStudio, ele não cria um espaço que assume uma função do IAM. Em vez disso, você altera o perfil associado ao perfil do usuário para gerenciar suas permissões para a aplicação. Para obter informações sobre como obter a função de um perfil de usuário de SageMaker IA, consulte[Obtenha um perfil de execução](sagemaker-roles.md#sagemaker-roles-get-execution-role-user).  
Para SageMaker Canvas, consulte[Configuração e gerenciamento de permissões do Amazon SageMaker Canvas (para administradores de TI)](canvas-setting-up.md).  
Para RStudio, veja[Crie um domínio Amazon SageMaker AI com o RStudio aplicativo](rstudio-create-cli.md#rstudio-create-cli-domain).

Os usuários podem acessar seus aplicativos de SageMaker IA em um espaço compartilhado ou privado.

**Espaços compartilhados**
+ Pode haver apenas um espaço associado a uma aplicação. Um espaço compartilhado pode ser acessado por todos os perfis de usuário dentro do domínio. Isso concede a todos os perfis de usuário no domínio acesso ao mesmo sistema de armazenamento de arquivos subjacente da aplicação.
+ O espaço compartilhado receberá as permissões definidas pelo **perfil de execução padrão do espaço**. Se você quiser modificar o perfil de execução do espaço compartilhado, deverá modificar o perfil de execução padrão do espaço.

  Para informações sobre como obter o perfil de execução padrão do espaço, consulte [Obtenha um perfil de execução de espaço](sagemaker-roles.md#sagemaker-roles-get-execution-role-space).

  Para informações sobre como modificar seu perfil de execução, consulte [Modificar as permissões para o perfil de execução](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role).
+ Para obter mais informações sobre espaços compartilhados, consulte [Colaboração com espaços compartilhados](domain-space.md).
+ Para criar um espaço compartilhado, consulte [Criar um espaço compartilhado](domain-space-create.md#domain-space-create-app).

**Espaços privados**
+ Pode haver apenas um espaço associado a uma aplicação. Um espaço privado só pode ser acessado pelo perfil do usuário que o criou. Esse espaço não pode ser compartilhado com outros usuários.
+ O espaço privado assumirá o **perfil de execução de perfil do usuário** do perfil do usuário que o criou. Se quiser modificar o perfil de execução do espaço privado, você deve modificar o perfil de execução do perfil de usuário.

  Para informações sobre como obter o perfil de execução do perfil de usuário, consulte [Obtenha um perfil de execução](sagemaker-roles.md#sagemaker-roles-get-execution-role-user).

  Para informações sobre como modificar seu perfil de execução, consulte [Modificar as permissões para o perfil de execução](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role).
+ Todos as aplicações que oferecem apoio a espaços também oferecem apoio a espaços privados. 
+ Um espaço privado do Studio Classic já é criado para cada perfil de usuário por padrão.

**Topics**
+ [SageMaker Funções de execução de IA](#sagemaker-execution-roles)
+ [Exemplo de permissões flexíveis com perfis de execução](#sagemaker-execution-roles-example)

## SageMaker Funções de execução de IA
<a name="sagemaker-execution-roles"></a>

Uma função de execução de SageMaker IA é uma função de [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) atribuída a uma identidade do IAM que está realizando execuções SageMaker em IA. Uma [identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) fornece acesso a uma AWS conta e representa um usuário humano ou uma carga de trabalho programática que pode ser autenticada e depois autorizada a realizar ações AWS, concedendo permissões à SageMaker IA para acessar outros AWS recursos em seu nome. Essa função permite que a SageMaker IA execute ações como iniciar instâncias de computação, acessar dados e artefatos de modelos armazenados no Amazon S3 ou gravar registros no. CloudWatch SageMaker A IA assume a função de execução em tempo de execução e recebe temporariamente as permissões definidas na política da função. O perfil deve conter as permissões necessárias que definam as ações que a identidade pode realizar e os recursos aos quais a identidade tem acesso. Você pode atribuir funções a várias identidades para fornecer uma abordagem flexível e granular para gerenciar permissões e acesso em seu domínio. Para obter mais informações sobre domínios, consulte [Visão geral do domínio Amazon SageMaker AI](gs-studio-onboard.md). Por exemplo, você pode atribuir perfis do IAM para:
+ **Perfil de execução do domínio** para conceder permissões amplas a todos os perfis de usuário dentro do domínio.
+ **Perfil de execução do espaço** para conceder permissões amplas para espaços compartilhados dentro do domínio. Todos os perfis de usuário no domínio podem acessar espaços compartilhados e usarão o perfil de execução do espaço enquanto estiverem dentro do espaço compartilhado.
+ **Perfil de execução do perfil de usuário** para conceder permissões refinadas para perfis de usuário específicos. Um espaço privado criado por um perfil de usuário assumirá o perfil de execução desse perfil de usuário.

Isso possibilita que você conceda as permissões necessárias ao domínio enquanto mantém o princípio das permissões de privilégio mínimo para perfis de usuário, a fim de seguir as [práticas recomendadas de segurança do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

Quaisquer alterações ou modificações nos perfis de execução podem levar alguns minutos para serem propagadas. Para obter mais informações, consulte [Mudar o perfil de execução](sagemaker-roles.md#sagemaker-roles-change-execution-role) ou [Modificar as permissões para o perfil de execução](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role), respectivamente.

## Exemplo de permissões flexíveis com perfis de execução
<a name="sagemaker-execution-roles-example"></a>

Com os [perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), você pode gerenciar e conceder permissões em níveis amplos e granulares. O exemplo a seguir inclui a concessão de permissões no nível do espaço e no nível do usuário.

Suponha que você seja um administrador configurando um domínio para uma equipe de cientistas de dados. *Você pode permitir que os perfis de usuário dentro do domínio tenham acesso total aos buckets do Amazon Simple Storage Service (Amazon S3), SageMaker executem trabalhos de treinamento e implantem modelos usando um aplicativo em um espaço compartilhado.* Neste exemplo, você pode criar uma função do IAM chamada "DataScienceTeamRole" com amplas permissões. Em seguida, você pode atribuir DataScienceTeamRole "" como a *função de execução padrão do espaço*, concedendo amplas permissões para sua equipe. Quando um perfil de usuário cria um *espaço compartilhado*, esse espaço assumirá o *perfil de execução padrão do espaço*. Para obter informações sobre como atribuir um perfil de execução a um domínio existente, consulte [Obtenha um perfil de execução de espaço](sagemaker-roles.md#sagemaker-roles-get-execution-role-space).

Em vez de permitir que qualquer perfil de usuário individual trabalhando em seu próprio *espaço privado* tenha acesso total aos buckets do Amazon S3, você pode restringir as permissões de um perfil de usuário e não permitir que ele altere os buckets do Amazon S3. *Neste exemplo, você pode dar a eles acesso de leitura aos buckets do Amazon S3 para recuperar dados, executar trabalhos de SageMaker treinamento e implantar modelos em seu espaço privado.* Você pode criar uma função de execução em nível de usuário chamada "DataScientistRole" com as permissões relativamente mais limitadas. Em seguida, você pode atribuir DataScientistRole "" à *função de execução do perfil de usuário*, concedendo as permissões necessárias para realizar suas tarefas específicas de ciência de dados dentro do escopo definido. Quando um perfil de usuário cria um *espaço privado*, esse espaço assumirá o *perfil de execução do usuário*. Para obter informações sobre como atribuir um perfil de execução a um perfil de usuário existente, consulte [Obtenha um perfil de execução](sagemaker-roles.md#sagemaker-roles-get-execution-role-user).

Para obter informações sobre funções de execução de SageMaker IA e como adicionar permissões adicionais a elas, consulte[Como usar funções de execução de SageMaker IA](sagemaker-roles.md).