本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解網域空間許可和執行角色
對於許多 SageMaker AI 應用程式,當您在網域內啟動 SageMaker AI 應用程式時,會為應用程式建立一個空間。當使用者設定檔建立空間時,該空間會擔任 AWS Identity and Access Management (IAM) 角色,定義授與該空間的許可。下列頁面提供空間類型和定義空間許可之執行角色的相關資訊。
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為它是具有許可政策的 AWS 身分,可決定身分可以和不可以執行的操作 AWS。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。
**注意**
當您啟動 Amazon SageMaker Canvas 或 RStudio 時,它不會建立一個擔任 IAM 角色的空間。反之,您可以變更與使用者設定檔相關聯的角色,以管理其對應用程式的許可。如需取得 SageMaker AI 使用者設定檔角色的相關資訊,請參閱 [取得使用者執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
對於 SageMaker Canvas,請參閱 [Amazon SageMaker Canvas 設定和許可管理 (適用於 IT 管理員)](canvas-setting-up.md)。
對於 RStudio,請參閱 [使用 RStudio 應用程式建立 Amazon SageMaker AI 網域](rstudio-create-cli.md#rstudio-create-cli-domain)。
使用者可以在共用或私有空間內存取其 SageMaker AI 應用程式。
**共用空間**
+ 只能有一個與應用程式相關聯的空間。共用空間可由網域內的所有使用者設定檔存取。這會授權網域中的所有使用者設定檔可以存取應用程式的相同基礎檔案儲存系統。
+ 共用空間將獲授與**空間預設執行角色**定義的許可。如果想要修改共用空間的執行角色,您必須修改空間預設執行角色。
如需取得空間預設執行角色的相關資訊,請參閱[取得空間執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)。
如需修改執行角色的相關資訊,請參閱[修改執行角色的許可](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
+ 如需共用空間的相關資訊,請參閱[與共用空間協作](domain-space.md)。
+ 若要建立共用空間,請參閱[建立共用空間](domain-space-create.md#domain-space-create-app)。
**私有空間**
+ 只能有一個與應用程式相關聯的空間。私有空間只能由建立該私有空間的使用者設定檔存取。此空間無法與其他使用者共用。
+ 私有空間將擔任建立該私有空間的使用者設定檔的**使用者設定檔執行角色**。如果想要修改私有空間的執行角色,則必須修改使用者設定檔的執行角色。
如需取得使用者設定檔執行角色的相關資訊,請參閱[取得使用者執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
如需修改執行角色的相關資訊,請參閱[修改執行角色的許可](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
+ 支援空間的所有應用程式也支援私有空間。
+ 根據預設,已為每個使用者設定檔建立 Studio Classic 的私有空間。
**Topics**
+ [SageMaker AI 執行角色。](#sagemaker-execution-roles)
+ [具有執行角色的彈性許可範例](#sagemaker-execution-roles-example)
## SageMaker AI 執行角色。
SageMaker AI 執行角色是指派給在 SageMaker AI 中進行執行之 IAM 身分的 [AWS Identity and Access Management (IAM) 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。[IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)可讓您存取 AWS 帳戶,並代表可進行身分驗證,然後獲授權在其中執行動作的人類使用者或程式設計工作負載 AWS,以授予 SageMaker AI 代表您存取其他 AWS 資源的許可。此角色可讓 SageMaker AI 執行動作,例如啟動運算執行個體、存取 Amazon S3 中存放的資料和模型成品,或將日誌寫入 CloudWatch。SageMaker AI 會在執行時期擔任執行角色,並暫時獲授與角色政策中定義的許可。角色應包含必要的許可,其會定義身分可以執行的動作,以及身分可以存取的資源。您可以將角色指派給各種身分,以提供彈性且精細的方法,來管理網域內的許可和存取。如需網域的詳細資訊,請參閱[Amazon SageMaker AI 網域概觀](gs-studio-onboard.md)。例如,您可以將 IAM 角色指派給:
+ **網域執行角色**,授與網域內所有使用者設定檔的廣泛許可。
+ **空間執行角色**,授與網域內共用空間的廣泛許可。網域中的所有使用者設定檔都可以存取共用空間,並會在位於共用空間內時使用空間的執行角色。
+ **使用者設定檔執行角色**,授與特定使用者設定檔的精細許可。使用者設定檔建立的私有空間將擔任該使用者設定檔的執行角色。
這可讓您將必要許可授與網域,同時仍維持使用者設定檔的最低權限許可原則,以遵循《AWS IAM Identity Center 使用者指南》**中的 [IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
執行角色的任何變更或修改可能需要幾分鐘的時間才能傳播。如需詳細資訊,請分別參閱 [變更您的執行角色](sagemaker-roles.md#sagemaker-roles-change-execution-role) 或 [修改執行角色的許可](sagemaker-roles.md#sagemaker-roles-modify-to-execution-role)。
## 具有執行角色的彈性許可範例
透過 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),您可以管理和授與廣泛且精細層級的許可。下列範例包含授與空間層級和使用者層級的許可。
假設您是為資料科學家團隊設定網域的管理員。您可以允許網域內的使用者設定檔完整存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體、執行 SageMaker 訓練任務,以及使用*共用空間*中的應用程式部署模型。在此範例中,您可以搭配廣泛許可,建立稱為 "DataScienceTeamRole" 的 IAM 角色。然後,您可以將 "DataScienceTeamRole" 指派為*空間預設執行角色*,為您的團隊授與廣泛的許可。當使用者設定檔建立*共用空間*時,該空間將擔任*空間預設執行角色*。如需將執行角色指派給現有網域的相關資訊,請參閱[取得空間執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-space)。
您可以限制使用者設定檔的許可,且不允許他們變更 Amazon S3 儲存貯體,而不是允許在其自己*私有空間*中工作的任何個別使用者設定檔能夠完整存取 Amazon S3 儲存貯體。在此範例中,您可以授予他們 Amazon S3 儲存貯體的讀取存取權,以擷取資料、執行 SageMaker 訓練任務,以及在其*私有空間*中部署模型。您可以搭配相對更多限制的許可,建立稱為 "DataScientistRole" 的使用者層級執行角色。然後,您可以將 "DataScientistRole" 指派給*使用者設定檔執行角色*,授與在定義範圍內執行其特定資料科學任務的必要許可。當使用者設定檔建立*私有空間*時,該空間將擔任*使用者執行角色*。如需將執行角色指派給現有使用者設定檔的相關資訊,請參閱[取得使用者執行角色](sagemaker-roles.md#sagemaker-roles-get-execution-role-user)。
如需 SageMaker AI 執行角色和新增其他許可至其中的相關資訊,請參閱[如何使用 SageMaker AI 執行角色](sagemaker-roles.md)。